Акт классификации информационной системы персональных данных, определяет структуру ИСПДн и режим обработки ПДн. Акт классификации составляется для каждой выявленной ИСПДн и прилагается к Уведомлению об обработке.
Пример Акта классификации информационной системы персональных данных.
Акт должен:
1) Утверждаться Председателем комиссии по классификации.
2) Для каждой ИСПДн должна быть определена ее структура, в которой определяются характеристики режима обработки (см. раздел 4 на стр. 24).
| Категория обрабатываемых персональных данных | ХПД: 1 / 2 / 3 / 4 |
| Объем обрабатываемых персональных данных | ХПДН: 1 / 2 / 3 |
| Заданные характеристики безопасности персональных данных | Типовая информационная система / специальная информационная система |
| Структура информационной системы | Автоматизированное рабочее место/ Локальная информационная система / Распределенная информационная система |
| Подключение информационной системы к сетям общего пользования и / или сетям международного информационного обмена | Имеется / не имеется |
| Режим обработки персональных данных | Однопользовательская / многопользовательская система |
| Режим разграничения прав доступа пользователей | Система с разграничение доступа / без разграничения доступа |
| Местонахождение технических средств информационной системы | Все технические средства находятся в пределах Российской Федерации / технические средства частично или целиком находятся за пределами Российской Федерации |
| Дополнительные информация | К персональным данным предъявляется требование целостности и / или доступности |
| Тип информационной системы персональных данных: | Специальная |
Характеристики рекомендуется заполнять следующим образом:
- Категория обрабатываемых персональных данных (ХПД). Определяется исходя из особенностей персональных данных, порядок категорирования которых описан в разделе 4.
- Должен быть определен объем записей персональных данных (ХПДН). В ИСПДн объем ПДн может принимать значение:
- 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
- 2- в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
- 3- в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
- Структура информационной системы. ИС является:
- Автоматизированным рабочим местом, если вся обработка ПДн производится в рамках одного рабочего места.
- Локальной информационной системой, если вся обработка ПДн производится в рамках одной локальной вычислительной сети.
- Распределенной информационной системой, если обработка ПДн производится в рамках комплекса автоматизированных рабочих мест и / или локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа. Т.е. элементы ИСПДн разнесены территориально, например, в ИСПДн включена сеть филиала, и связь между территориально удаленными элементами осуществляется по каналам сетей общего пользования и / или международного обмена.
- Подключение информационной системы к сетям общего пользования и / или сетям международного информационного обмена. Если ИСПДн или ее элементы имеют подключение к Интернету или другим сетям, вне зависимости обусловлено ли это служебной необходимостью или нет, то ИСПДн имеет подключение.
- Режим обработки персональных данных. Система является однопользовательской, если сотрудник обрабатывающий ПДн совмещает в себе функции администратора (осуществляет настройка и поддержку технических и программных средств) и оператора. Во всех других случаях ИСПДн является многопользовательской.
- Режим разграничения прав доступа пользователей. Если в системе все пользователи (администраторы, операторы, разработчики) обладают одинаковым набором прав доступа или осуществляют вход под единой учетной записью и вход под другими учетными записями не осуществляется, то ИСПДн не имеет системы разграничения прав доступа. Во всех других случаях ИСПДн имеет систему разграничения прав доступа.
- Местонахождение технических средств информационной системы. Все ИСПДн Учреждений находятся на территории Российской Федерации.
- Дополнительная информация. К ИСПДн Учреждений предъявляются требования целостности. Если также должно обеспечиваться требование доступности, то необходимо внести соответствующие изменения.
- Тип информационной системы персональных данных. Все ИСПДн учреждения являются специальными.
3) На основании полученных данных каждой ИСПДн должен быть присвоен класс.
Пример присвоения класса:
На основании полученных данных и в соответствии с моделью угроз персональных данных (для специальных информационных систем) информационной системе персональных данных «АИС Регистратура» присвоен класс К3.
4) Акт должен быть подписан всеми членами комиссии.