среда, 22 февраля 2012 г.

Классификация ИСПДн

В ФЗ "О персональных данных" ничего не говорится о классах ИСПДн, вместо этого вводится новое понятие "уровни защищенности", которое будет уточнено в дальнейшем. Однако на сегодняшний момент Роскомнадзор при проведении проверок требует акт классификации системы. Следовательно, необходимо придерживаться Приказа трех. В данном приказе не говорится о создании комиссии и составлении акта, но оператору необходимо присвоить информационной системе соответствующий класс и его документально оформить. Акт классификации перекочевал из практики по аттестации автоматизированных систем, для его  составления необходимо создать комиссию и утвердить ее приказом по организации. Я рекомендую председателем комиссии сделать лицо, ответственное за обработку персональных данных. 
В акте должно быть указано следующее:
1.Состав экспертной комиссии и основание их деятельности (№ и дата приказа);
2.Основные особенности ИСПДн (категория данных, наличие подключений и т.д.);
3.Ссылка на другие документы, уточняющие характер и состав ИСПДн (список помещений, матрица доступа и т.д.);
4.Класс системы, который определила комиссия.
Также в акте можно указать дополнительную информацию, требований к форме нет, но мое личное мнение - указывайте только необходимый для классификации минимум, подробности лучше выносить в отдельные локальные акты и на них ссылаться. Все-таки основная задача акта классификация - декларировать класс системы.