Лични данни ISPD класификация

Една от приоритетните дейности, които е необходимо да се извършат при създаване на информационна система за обработка на лични данни (ИСОЛД) е класифицирането на ИСОЛД.

  • Събиране и анализ на изходни данни за информационната система;
  • Присвояване на съответния клас на информационната система и нейното документиране.

При класифицирането на една информационна система е необходимо да се отговори на следните въпроси:

Първоначални данни и съпътстваща информация

Xnpd може да приема следните стойности:

  • 1 — информационната система обработва едновременно лични данни на повече от 100 000 субекта на лични данни или лични данни на субекти на лични данни в рамките на субекта България или България като цяло;
  • 2 — информационната система обработва едновременно лични данни от 1 000 до 100 000 субекта на лични данни или лични данни на субекти на лични данни, работещи в сектор от българската икономика, в орган на държавна власт, с местожителство в община;
  • 3 — в информационната система се обработват едновременно данни на по-малко от 1000 субекта на лични данни или лични данни на субекти на лични данни в рамките на определена организация.

Характеристики на сигурността на личните данни

За ISPD се определят характеристиките на сигурността на личните данни, които се разделят на основни и допълнителни:

ОСНОВНО:

  • конфиденциалност
  • интегритет
  • наличност

НЕЗАДЪЛЖИТЕЛНО:

  • без отричане
  • счетоводство(под контрол)
  • автентичност (достоверност)
  • адекватност

Структурата на информационната система се разделя на:

  • автономни (несвързани с други информационни системи) комплекси от хардуер и софтуер, предназначени за обработка на лични данни (автоматизирани работни станции);
  • комплекс от автоматизирани работни станции, обединени в единна информационна система чрез средства за комуникация без използване на технология за отдалечен достъп (локални информационни системи);
  • комплекс от автоматизирани работни станции и (или) локални информационни системи, обединени в единна информационна система чрез средства за комуникация, използващи технология за отдалечен достъп (разпределени информационни системи).

Режим на обработка

При организирането на ISPD се определят следните режими на обработка:

  • един потребител ;
  • мултипотребител.

Режим на разграничаване на правата за достъп

В ISPD системата за контрол на достъпа означава:

  • без разграничаване на правата за достъп;
  • с ограничени права на достъп.

Информационните системи се делят натипични испециални.Типичната информационна система включва системи, които изискват само поверителност на PD.

Специална информационна система включва системи, които в допълнение към поверителността изискват:

  • Информационни системи, в които се обработват лични данни, свързани със здравословното състояние на субектите на лични данни;
  • Информационни системи, в които вземането на решения се осигурява на базата на изключително автоматизирана обработка на лични данни,пораждащи правни последици по отношение на субекта на личните данни или засягащи по друг начин негови права и законни интереси.

Класификация на информационните системи

Съгласно заповедта на FSTEC / FSB / Министерството на информацията и комуникациите № 55/86/20, ISPD може да вземе един от четирите класа, определени в тази заповед:

  1. клас 1 (K1) - информационни системи, за които нарушаването на дадена характеристика на сигурността на обработваните в тях лични данни може да доведе до значителни негативни последици за субектите на лични данни;
  2. клас 2 (K2) - информационни системи, за които нарушаването на дадена характеристика на сигурността на обработваните в тях лични данни може да доведе до негативни последици за субектите на лични данни;
  3. клас 3 (K3) - информационни системи, за които нарушаването на посочените характеристики за сигурност на обработваните в тях лични данни може да доведе до незначителни негативни последици за субектите на лични данни;
  4. клас 4 (K4) - информационни системи, за които нарушаването на посочените характеристики за сигурност на обработваните в тях лични данни не води до негативни последици за субектите на лични данни.

В съответствие с тези дефиниции на класове, за по-лесно класифициране, е изградена следната таблица: