- 628002, г. Ханты-Мансийск, ул. Гагарина, д. 214
- 8 (3467) 352800
- office@hmrn.ru
Уровни защищенности персональных данных
Уровень защищенности персональных данных - это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.
Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:
1 группа — специальные категории ПДн, персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
2 группа — биометрические ПДн, сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
3 группа — общедоступные ПДн, персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных", то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа — иные категории ПДн, не представленные в трех предыдущих группах.
По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
- обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
- обработка персональных данных субъектов, не являющихся работниками вашей организации.
По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:
- менее 100 000 субъектов;
- более 100 000 субъектов;
И наконец, типы актуальных угроз:
- угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
- угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
- угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.
В соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждёнными Постановлением Правительства РФ от 01.11.2012 № 1119, для ИСПДн актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Угрозы 1-го и 2-го типа не актуальны в связи с тем, что работа ИСПДн планируется на лицензионном системном программного обеспечении, в защищённой информационной среде, созданной на основе сертифицированных средств защиты информации.
Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:|
Тип ИСПДн |
Сотрудники оператора |
Количество субъектов |
Тип актуальных угроз | ||
|
1
|
2
|
3
| |||
|
ИСПДн-С
| Нет | > 100 000 | УЗ-1 | УЗ-1 | УЗ-2 |
| Нет | < 100 000 | УЗ-1 | УЗ-2 | УЗ-3 | |
| Да |
| ||||
|
ИСПДн-Б
|
|
| УЗ-1 | УЗ-2 | УЗ-3 |
|
ИСПДн-И
| Нет | > 100 000 | УЗ-1 | УЗ-2 | УЗ-3 |
| Нет | < 100 000 | УЗ-2 | УЗ-3 | УЗ-4 | |
| Да |
| ||||
|
ИСПДн-О
| Нет | > 100 000 | УЗ-2 | УЗ-2 | УЗ-4 |
| Нет | < 100 000 | УЗ-2 | УЗ-3 | УЗ-4 | |
| Да |
| ||||
Далее на каждую ИСПДн заполняется АКТ КЛАССИФИКАЦИИ ИСПДн (пример)
Защита персональных данных, семинар 10.05.2018 (скачать презентацию)