Классификация испдн в школе

Обновлено: 05.07.2024

Одним из первоочередных мероприятий, которое требуется осуществить при создании информационной системы обработки персональных данных (ИСПДн) является классификация ИСПДн.

Это необходимо для того, чтобы определить класс системы и соответствующие требования, предъявляемые ФСТЭК и ФСБ при обработке персональных данных (ПДн). В этой статья я опишу общую процедуру проведения классификации ИСПДн.

  • Сбор и анализ исходных данных по информационной системе;
  • Присвоение информационной системе соответствующего класса и его документальное оформление.

При проведении классификации информационной системы необходимо ответить на следующие вопросы:

  1. 1К какой категории принадлежат персональные данные обрабатываемые в информационной системе – Xпд?
  2. Какой объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – Xнпд?
  3. Какие заданы характеристики безопасности персональных данных, обрабатываемых в информационной системе?
  4. Какая структура информационной системы?
  5. Имеется ли подключение информационной системы к сетям связи общего пользования и/или сети Internet?
  6. Какой режим обработки персональных данных?
  7. Какой режим разграничения прав доступа пользователей информационной системы?
  8. Местонахождение технических средств информационной системы?

Исходные данные и вспомогательная информация

Определяются следующие категории обрабатываемых в информационной системе персональных данных (Xпд):

  1. категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  2. категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  3. категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
  4. категория 4 — обезличенные и (или) общедоступные персональные данные.

Xнпд может принимать следующие значения:

  • 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
  • 2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
  • 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Характеристики безопасности персональных данных

Для ИСПДн определяют характеристики безопасности персональных данных, которые делятся на основные и дополнительные:

ОСНОВНЫЕ:

  • конфиденциальность
  • целостность
  • доступность

ДОПОЛНИТЕЛЬНЫЕ:

  • неотказуемость
  • учетность (подконтрольность)
  • аутентичность (достоверность)
  • адекватность

Структура информационной системы подразделяется на:

  • автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
  • комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
  • комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

Режим обработки

При организации ИСПДн определяют следующие режимы обработки:

Режим разграничения прав доступа

В ИСПДн система разграничения доступа подразумевается:

  • без разграничения прав доступа;
  • с разграничением прав доступа.

Информационные системы делятся на типовую и специальную.
К типовой информационной системе относятся системы, которые требуют только конфиденциальность ПДн.

К специальной информационной системе относятся системы, которые помимо конфиденциальности требуют:

  • Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
  • Информационные системы, в которых на основании исключительно автоматизированной обработки персональных данных предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Классификация информационной системы

Согласно Приказа ФСТЭК/ФСБ/Мининформсвязи № 55/86/20, ИСПДн может принимать один из четырех классов, определенных в данном приказе:

  1. класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
  2. класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
  3. класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
  4. класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

В соответствии с данными определениями классов, для удобства классификации, построена следующая таблица:

Классификация информационных систем персональных данных (отменена)

До 11 марта 2013 г. все организации, в том числе государственные и муниципальные органы, которые осуществляют обработку персональных данных, обязаны были проводить классификацию информационных систем, а также определять цели и содержание такой обработки. Классификация проводилась с целью определения способов и методов, которые необходимо было применять для защиты персональных данных. Классификация проводилась как на стадии создания информационной системы, так и на стадии ее модернизации.

В ходе проведения классификации члены комиссии должны были осуществить анализ собранной информации (исходных данных) об информационной системе, таких как:

  • количество субъектов, персональные данные которых обрабатываются (объем);
  • категория персональных данных;
  • характеристики безопасности персональных данных;
  • структура информационной системы (автономные, локальные или распределенные системы);
  • наличие подключений к сетям общего пользования, в том числе сети Интернет;
  • режим обработки (может быть однопользовательский и многопользовательский);
  • наличие разграничения прав доступа к персональным данным в информационной системе;
  • территориальное расположение элементов информационной системы (могут быть расположены в пределах РФ либо за пределами РФ частично или полностью).

По результатам анализа комиссия должна была определить класс информационной системы при помощи следующей таблицы:

Напоминаем вам, что в настоящий момент классификацию ИСПДн проводить не нужно, так как отменен устанавливающий эту процедуру нормативный акт. В настоящее время для определения базового набора мез защиты необходимо определять уровень защищенности.

Классификация ИСПДн

Классификация ИСПДн требуется для выстраивания защиты уже существующей либо проектируемой системы, которая обрабатывает персональные данные. Чем нужно руководствоваться в процессе разработки организационно-технических мероприятий по предупреждению угроз безопасности.

Основополагающими в вопросах регулирования вопросов выделения видов ИСПДн являются правительственные положения, утвержденные приказы ФСТЭК и ФСБ. Они, в свою очередь, разработаны с учетом содержания ФЗ-152 — основного законодательного акта в сфере защиты ПДн.

Если возникнут трудности с приведением деятельности в соответствие с актуальными правовыми нормами, есть смысл привлечь специалистов нашего центра.

Как правильно классифицировать ИСПДн: категории ПДн и другие критерии

В течение 5 лет информационные системы, обрабатывающие личные сведения граждан, требовалось делить на классы. Необходимость выполнения разделения была прописана Совместным приказом регулирующих органов (ФСБ, Мининформсвязи и Федеральной службы безопасности России), принятым 13 февраля 2008 года. Определение класса ИСПДн могло осуществляться на любом этапе. Для выполнения всех предусмотренных законом действий создавалась специальная комиссия, которая должны была оценить прописанные в приказе параметры, для того, чтобы в зависимости от присвоенного класса имелась возможность адекватно подобрать те или иные методики и оборудование СЗПДн.

Ключевыми критериями, которые принимались во внимание, были:

  • категории используемых сведений (всего существовало 4 категории (обезличенные/общедоступные; ПДн, связанные с расой, национальностью, политическими, философскими и религиозными взглядами, интимной жизнью и состоянием здоровья; ПДн, предназначенные для идентификации и получении дополнительных сведений о субъекте, не вошедшие в 1 категорию; ПДн, позволяющие идентифицировать личность));
  • исходные параметры безопасности ПДн, на основании которых выделялись типовые и специальные ИСПДн;
  • структурные особенности ИС — принадлежность к локальным, автономным либо распределительным системам;
  • размещение компонентов ИСПДн (учитывалось территориальное расположение системы — либо в РФ, либо за её пределами);
  • тип субъектов персональных данных;
  • дифференциация прав доступа к конфиденциальной информации;
  • подключение к Интернету и прочим сетям общего пользования;
  • число пользователей — классификация предполагала выделение однопользовательских и многопользовательских ИС.

Проанализировав совокупность указанных выше свойств системы, экспертам нужно было установить, к какому из четырех классов она принадлежит, и с учетом этого проектировать СЗПДн.

4 класса ИСПДн

  1. Класс 1 — системы, где нарушение характеристик ИБ способно спровоцировать существенные негативные последствия для владельцев персональных данных.
  2. Класс 2 — ИСПДн, в которых нарушения безопасности чреваты негативными последствиями для граждан.
  3. Класс 3 — ИС, нарушения в которых вызывают незначительные риски для субъектов.
  4. Класс 4 — системы, в которых вероятные нарушения не способны стать причиной каких-либо негативных последствий для людей, чьи данные в ней обрабатываются.

Итоги исследований и решение о присвоении того или иного класса ИСПДн предстояло зафиксировать в отдельном документе — акте, который подписывался членами сформированной комиссии. Изначальное решение могло быть изменено, если:

  • необходимость в этом возникала в процессе контроля соблюдения требований ИБ в отношении обрабатываемых личных сведений;
  • оператором принималось решение по результатам изучения и оценки УБ после изменения параметров ИС.

Нужна ли классификация информационных систем персональных данных в 2021 году?

После того, как в 2012 году было принято Постановление Правительства № 1119, регулирующее требования в отношении ИСПДн, необходимость проводить классификацию исчезла. Отмену разделения уполномоченные органы прописали в соответствующих приказах, что позволило с марта 2013 года ограничиться установлением уровня защищенности ИСПДн (всего уровней 4). Его определяют на основании типа УБ, категории и количества субъектов информационной системы, а также взаимоотношений с ними (сотрудники или нет).

  • Для учеников 1-11 классов и дошкольников
  • Бесплатные сертификаты учителям и участникам

КЛАССИФИКАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ Методология определ.

Описание презентации по отдельным слайдам:

КЛАССИФИКАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ Методология определ.

КЛАССИФИКАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ
ПЕРСОНАЛЬНЫХ ДАННЫХ

Методология определения класса ИСПДн

СБОР И АНАЛИЗ ИСХОДНЫХ ДАННЫХ ПО ИНФОРМАЦИОННОЙ СИСТЕМЕ; ПРИСВОЕН.


СБОР И АНАЛИЗ ИСХОДНЫХ ДАННЫХ ПО ИНФОРМАЦИОННОЙ СИСТЕМЕ;
ПРИСВОЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЕ СООТВЕТСТВУЮЩЕГО КЛАССА И ДОКУМЕНТАЛЬНОЕ ЕГО ОФОРМЛЕНИЕ.
ЭТАПЫ ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ

КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ДАННЫХ - ХПД; ОБЪЁМ.

КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ
ДАННЫХ - ХПД;
ОБЪЁМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ (КОЛИЧЕСТВО СУБЪЕКТОВ ПДн, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ – ХНПД;
ЗАДАНИЕ ОПЕРАТОРОМ ХАРАКТЕРИСТИКИ БЕЗОПАСНОСТИ ПЕРСО-
НАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННОЙ
СИСТЕМЕ;
СТРУКТУРА ИНФОРМАЦИОННОЙ СИСТЕМЫ;
НАЛИЧИЕ ПОДКЛЮЧЕНИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ К СЕТЯМ ОБЩЕГО ПОЛЬЗОВАНИЯ И (ИЛИ) СЕТЯМ МЕЖДУНАРОДНОГО ИНФОРМАЦИОННОГО ОБМЕНА;
РЕЖИМ ОБРАБОТКИ ПДн;
РЕЖИМ РАЗГРАНИЧЕНИЯ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ;
МЕСТОНАХОЖДЕНИЕ ТЕХНИЧЕСКИХ СРЕДСТВ ИСПДн.
ИСХОДНЫЕ ДАННЫЕ

КАТЕГОРИЯ 1 - ПЕРСОНАЛЬНЫЕ ДАННЫЕ, КАСАЮЩИЕСЯ РАСОВОЙ.

КАТЕГОРИЯ 1 - ПЕРСОНАЛЬНЫЕ ДАННЫЕ, КАСАЮЩИЕСЯ РАСОВОЙ,
НАЦИОНАЛЬНОЙ ПРИНАДЛЕЖНОСТИ, ПОЛИТИЧЕСКИХ
ВЗГЛЯДОВ, РЕЛИГИОЗНЫХ И ФИЛОСОФСКИХ УБЕЖДЕНИЙ,
СОСТОЯНИЯ ЗДОРОВЬЯ, ИНТИМНОЙ ЖИЗНИ.
КАТЕГОРИЯ 2 - ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ПОЗВОЛЯЮЩИЕ ИДЕНТИФИЦИ-
РОВАТЬ СУБЪЕКТА ПДн И ПОЛУЧИТЬ О НЁМ ДОПОЛНИ-
ТЕЛЬНУЮ ИНФОРМАЦИЮ, ЗА ИСКЛЮЧЕНИЕМ ПДн, ОТНО-
СЯЩИХСЯ К КАТЕГОРИИ 1.
КАТЕГОРИЯ 3 - ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ПОЗВОЛЯЮЩИЕ ИДЕНТИФИЦИ-
РОВАТЬ СУБЪЕКТА ПДн.
КАТЕГОРИЯ 4 – ОБЕЗЛИЧЕННЫЕ И (ИЛИ) ОБЩЕДОСТУПНЫЕ ПДн.
КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Законодательство определяет различные категории персональных данных: общедост.

Законодательство определяет различные категории персональных данных: общедоступные,
специальные категории ПДн, категории ПДн, обрабатываемые в информационных системах
ПДн, биометрические ПДн и другие.

Данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или которые в соответствии федеральными законами не распространяются требования соблюдения конфиденциальности (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются справочники, адресные книги и т.п.). Такие сведения могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

К специальным категориям относятся персональные данные, касающиеся расовой, н.

К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

субъект ПДн дал согласие в письменной форме на обработку своих персональных данных;
персональные данные являются общедоступными;
персональные данные относятся к состоянию здоровья субъекта ПДн и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия.

КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Биометрические персональные данные (аутентификация, опирающаяся на уникальные.

Биометрические персональные данные
(аутентификация, опирающаяся на уникальные биологические показатели человека. К основным биометрическим идентификаторам относятся отпечатки пальцев, рукописные подписи, образцы голоса, результаты сканирования сетчатки и радужной оболочки глаза, формы ладони или черт лица)

Биометрические персональные данные – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн.Обработка биометрических персональных данных без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно-исполнительным законодательством.
Исходя из определения биометрических ПДн, к ним относятся фотографии и видеоизображения субъектов ПДн. Это подтверждают и представители регуляторов, в частности Федеральной службы по техническому и экспортному контролю. Фотографии субъектов ПДн могут обрабатываться в пропускных системах и системах контроля доступа, видеоизображения – в системах видеонаблюдения и т.п.

КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1 - в информационной системе одновременно обрабатываются персональные данные.

1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

ОБЪЁМ ПДн (значение Хнпд)

информационные системы подразделяются на типовые и специальные информационные.

информационные системы подразделяются на типовые и специальные информационные системы

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

ТИПЫ ИНФОРМАЦИОННЫХ СИСТЕМ

По структуре информационные системы подразделяются на автономные (не подключ.

По структуре информационные системы подразделяются

на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

СТРУКТУРА ИНФОРМАЦИОННЫХ СИСТЕМ

ДРУГИЕ ИСХОДНЫЕ ДАННЫЕПО НАЛИЧИЮ ПОДКЛЮЧЕНИЯ ПОДРАЗДЕЛЯЮТСЯ НА: ИМЕЮЩИЕ.

ДРУГИЕ ИСХОДНЫЕ ДАННЫЕ
ПО НАЛИЧИЮ ПОДКЛЮЧЕНИЯ
ПОДРАЗДЕЛЯЮТСЯ НА:

ИМЕЮЩИЕ ПОДКЛЮЧЕНИЯ
НЕ ИМЕЮЩИЕ ПОДКЛЮЧЕНИЯ

ПО РЕЖИМУ ОБРАБОТКИ
ПОДРАЗДЕЛЯЮТСЯ НА:

ПО РАЗГРАНИЧЕНИЮ ПРАВ
ДОСТУПА ПОДРАЗДЕЛЯЮТСЯ НА:

БЕЗ РАГРАНИЧЕНИЯ ПРАВ ДОСТУПА
С РАЗГРАНИЧЕНИЕМ ПРАВ ДОСТУПА


В ЗАВИСИМОСТИ ОТ МЕСТОНАХОЖДЕНИЯ ПОДРАЗДЕЛЯЮТСЯ НА:

все технические средства которых находятся в пределах Российской Федерации

системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

По результатам анализа исходных данных типовой информационной системе присва.

По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Кобец Дмитрий Андреевич

ИСПДн – это информационная система персональных данных.

Она представляет собой систему из набора персональных данных (далее – ПДн), который располагается в базе данных (далее – БД), а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Она может производиться с использованием средств вычислительной техники, либо же без их использования, то есть вручную оператором.

  • Оператором является организация, которая обрабатывает данные субъекта.
  • Субъект – это человек, который предоставляет персональные сведения о себе.

Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора.

ИСПДн на примере

Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной информационной системе будет располагаться БД персональных данных действующих и уволенных сотрудников. В данную систему будут входить все средства, которые способствуют обработке этих данных. Например АРМы, серверы, программное обеспечение, применяемые средства защиты информации.

Классификация и типы ИСПДн

Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению:

Типы ИСПДн

Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы ИС, которые обрабатывают ПДн, относящиеся к следующим категориям:

  • специальные;
  • биометрические;
  • общедоступные;
  • иные;
  • персональные данные сотрудников.

Актуальные угрозы ИСПДн

После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы:

  • первого типа;
  • второго типа;
  • третьего типа.

К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).

К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.

К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.

Уровни защищенности ИСПДн

Существует четыре уровня защищенности.

Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов:

  • чьи персональные данные обрабатываются (работников или не работников);
  • количество субъектов ПДн.

Составим таблицу определения уровня защищенности ИСПДн согласно ПП №1119.

Категория ПДн Отношение субъекта ПДн к оператору Количество ПДн Актуальные угрозы
У 1 У 2 У 3
специальные не сотрудник более 100000 УЗ 1 УЗ 1 УЗ 2
менее 100000 УЗ 1 УЗ 2 УЗ 3
сотрудник нет ограничений УЗ 1 УЗ 2 УЗ 3
биологические не сотрудник более 100000 УЗ 1 УЗ 2 УЗ 3
менее 100000 УЗ 1 УЗ 2 УЗ 3
сотрудник нет ограничений УЗ 1 УЗ 2 УЗ 3
общедоступные не сотрудник более 100000 УЗ 2 УЗ 2 УЗ 4
менее 100000 УЗ 2 УЗ 3 УЗ 4
сотрудник нет ограничений УЗ 2 УЗ 3 УЗ 4
иные не сотрудник более 100000 УЗ 1 УЗ 2 УЗ 3
менее 100000 УЗ 1 УЗ 3 УЗ 4
сотрудник нет ограничений УЗ 1 УЗ 3 УЗ 4

ИСПДн: основные моменты

Чтобы определить, как именно защищать вашу ИС, в которой обрабатываются персональные данные ваших сотрудников или клиентов, необходимо определить уровень защищенности. Для этого нужно знать следующее:

  • какие персональные данные обрабатываются и с помощью этого выделить тип ИС;
  • угрозы, актуальные для вашей ИС;
  • количество обрабатываемых данных
  • кем является субъект предоставляемых данных (работником или не работником).

Зная все эти сведения, можно легко установить уровень защищенности вашей ИС. Меры для обеспечения всех вышеприведенных уровней защищенности определены в законодательных документах.

Читайте также: