ИСПДн
ИСПДн — это информационная система (хранения и обработки) персональных данных. Она включает в себя сами персональные данные и средства, которые используют для их обработки и защиты.
До 11 марта 2013 года все, кто работал с персональными данными, обязаны были провести классификацию своей ИСПДн. Для этого нужно было собрать специальную комиссию и тщательно проанализировать систему. Теперь приказ, который обязывал это делать, отменен. Соответственно, классификация ИСПДн по защищенности тоже больше не действует.
Зато теперь уровни защищенности появились у персональных данных. Всего их четыре — чем выше уровень, тем более серьезная защита нужна данным. Уровни защищенности описаны в 1119 постановлении Правительства, меры защиты — в 21 приказе ФСТЭК.
Основной акцент документа сделан на требования по нейтрализации угроз персональным данным.
Безопасность персональных данных (ПДн) обеспечивает Оператор или уполномоченное лицо (полномочия на обработку ПДн по поручению).
Выбор системы защиты информации для СЗПДн должен осуществляться в соответствии с нормативными правовыми актами ФСБ России и ФСТЭК России.
Выделяется несколько типов ИСПДн по типу персональных данных и по типу субъектов персональных данных. В целом понятно и удобно работать с ними. 1я классификаця предполагает выделение:
ИСПДн, в которой обрабатывающей специальные категории персональных данных (информация, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн). Обратите внимание, хотя этот перечень и совпадает со 152-ФЗ, но в соответствующей статье закона (ст.10 152-ФЗ) присутствует упоминание об информации о судимости и требований к ней, а в ПП 1119 ничего об этом не сказано.
ИСПДн, в которой обрабатываются биометрические персональные данные. Обратите внимание теперь на два момента:
..."если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных". Еще один аргумент в пользу того, что фотографии в СКУД не биометрия.
"...и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.". Вопрос не самый критичный, но все же. Теперь однозначно видна позиция регуляторов, что спецкатегории персональных данных критичнее биометрических персональных данных.
ИСПДн, в которой обрабатываются общедоступные ИСПДн. Причем основание для общедоступности - получение из общедоступных источников, созданных в соответствии со 152-ФЗ.
ИСПДн, в которой обрабатываются иные категории персональных данных.
Второй тип классификации предполагает выделение ИСПДн, в которых обрабатываются персональных данных только указанных сотрудников и ИСПДн, в которой обрабатываются персональных данных субъектов, не являющихся сотрудниками оператора.
На уровень защищенности ИСПДн влияют типы угроз, вот перечень ПДн и количество субъектов персональных данных:
|
Категория ПДн + кол-во |
АУ 1 типа |
АУ 2 типа |
АУ 3 типа |
|
Данные более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
1 |
1 |
2 |
|
ПДн сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
1 |
2 |
3 |
|
Биометрические ПДн |
1 |
2 |
3 |
|
Иные категории ПДнболее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
1 |
2 |
3 |
|
Иные категории ПДнданных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора |
1 |
3 |
4 |
|
Общедоступные ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
2 |
2 |
4 |
|
Общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
2 |
3 |
4 |
Перечень требований к уровням защищенности тоже можно представить в таблице.
|
Требования |
1 |
2 |
3 |
4 |
|
Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом). |
* |
* |
* |
* |
|
Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения |
* |
* |
* |
* |
|
Обеспечение сохранности носителей персональных данных |
* |
* |
* |
* |
|
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей |
* |
* |
* |
* |
|
Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз |
* |
* |
* |
* |
|
Назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИСПДн |
* |
* |
* |
- |
|
Обеспечение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей |
* |
* |
- |
- |
|
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИСПДн |
* |
- |
- |
- |
|
Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности |
* |
- |
- |
- |
Итак, необходимо:
Определить перечень носителей персональных данных и требования по их хранению, использованию, транспортировке и уничтожению.
Обеспечить физическую безопасность носителей персональных данных и контроль доступа в помещения обработки персональных данных. Хорошей практикой является наличие утвержденного списка лиц, допущенных в серверное помещение.
Назначить должностное лицо (работника), ответственного за обеспечение безопасности персональных данных в ИСПДн.
Внести правки в положение о структурном подразделении, ответственного за обеспечение безопасности персональных данных.
Разработать и утвердить перечень лиц, допущенных к обработке персональных данных.
Для СЗПДн использовать средства защиты информации (СЗИ), прошедшие процедуру оценки соответствия.
Определить процедуру регулярных проверок выполнения требований к СЗПДн (процедура внутреннего контроля).
Пересмотреть/Доработать с учетом новых данных (сделать, если еще не сделали):
Пересмотреть протокол возможного ущерба субъектам ПДн.
Пересмотреть и обновить Акты классификации ИСПДн с учетом уровней защищенности.
Быть готовым к пересмотру и доработке
Быть готовым к пересмотру модели угроз ИСПДн.
Быть готовым к пересмотру всей СЗПДн и закупке новых СЗИ.
