Угрозы безопасности персональных данных зависят от вида информационной системы персональных данных (ИСПДн). Нормативными правовыми актами в области защиты персональных данных определены виды ИСПДн, которые различаются теми или иными характеристиками.
Характеристики информационных систем персональных данных
По структуре ИСПДн подразделяются:- на автономные (не подключенные к иным ИСПДн) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
- на комплексы автоматизированных рабочих мест, объединенных в единую ИСПДн средствами связи без использования технологии удаленного доступа (локальные ИСПДн);
- на комплексы автоматизированных рабочих мест и (или) локальных ИСПДн, объединенных в единую ИСПДн средствами связи с использованием технологии удаленного доступа (распределенные ИСПДн).
По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена ИСПДн подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.
ИСПДн имеет подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, если вся система или ее элементы пересылают данные по электронным каналам связи в другие системы или имеют подключение к сети Интернет.
По режиму обработки персональных данных в ИСПДн. ИСПДн подразделяются на однопользовательские и многопользовательские.
ИСПДн является однопользовательской, когда один сотрудник сочетает в себе роли Администратора и Пользователя ИСПДн, и единолично осуществляет обработку персональных данных на одном автоматизированном рабочем месте. Во всех других случаях, ИСПДн является многопользовательской.
По разграничению прав доступа пользователей. ИСПДн подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.
ИСПДн является системой с разграничением прав, если в ней присутствуют разные группы пользователей с разными правами. ИСПДн является системой без разграничения прав, когда все пользователи имеют одинаковые права на действия с персональными данными.
ИСПДн в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
Основные виды информационных систем персональных данных
Исходя из характеристик ИСПДн, ФСТЭК России, выделило 6 видов ИСПДн [1]:
- автоматизированные рабочие места, не имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
- автоматизированные рабочие места, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
- локальных ИСПДн, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена;
- локальных ИСПДн, имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена;
- распределенных ИСПДн, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена;
- распределенных ИСПДн, имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена.
Виды информационных систем персональных данных в сфере здравоохранения, социальной сферы, труда и занятости
Минздравсоцразвития России,с учетом основных видов ИСПДн от ФСТЭК России и характеристик ИСПДн, определило 10 типов ИСПДн для учреждений здравоохранения, социальной сферы, труда и занятости [2]. А именно:
- Автономная ИС I типа – однопользовательское, автономное рабочее место, не имеющее подключения к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы.
- Автономная ИС II типа – однопользовательское, автономное рабочее место, имеющее подключение к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы.
- Автономная ИС III типа – многопользовательское автономное рабочее место, не имеющее подключения к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, без разграничения прав доступа.
- Автономная ИС IV типа – многопользовательское, автономное рабочее место, имеющее подключение к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, без разграничения прав доступа.
- Автономная ИС V типа – многопользовательское, автономное рабочее место, не имеющее подключения к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, с разграничением прав доступа.
- Автономная ИС VI типа – многопользовательское, автономное рабочее место, имеющее подключение к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, с разграничением прав доступа.
- ЛИС I типа – локальная информационная система, не имеющая подключения к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, с разграничением прав доступа.
- ЛИС II типа – локальная информационная система, имеющая подключение к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, с разграничением прав доступа.
- Распределенная ИС I типа – распределенная информационная система, не имеющая подключения к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, с разграничением прав доступа.
- Распределенная ИС II типа – распределенная информационная система, имеющая подключение к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, с разграничением прав доступа.
Вывод
Из вышеизложенного следует вывод, что для всех организаций, которые не являются учреждениями здравоохранения, социальной сферы, труда и занятости, используют 6 основных видов информационных систем персональных данных определенных ФСТЭК России.
Учреждения здравоохранения, социальной сферы, труда и занятости, используют 10 видов информационных систем персональных данных определенных Минздравсоцразвития России.
Источники:
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Выписка), утверждена ФСТЭК России, 15.02.2008;
- Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости, утверждена Департаментом информатизации Минздравсоцразвития России, 23.12.2009