Обзор законодательства

Что на счет защиты: определяем необходимый уровень защищенности персональных данных


Согласно законодательству РФ, операторы персональных данных должны не только корректно обрабатывать информацию, но и надежно ее хранить. Чтобы корректно осуществлять обработку и хранение ПДн, оператору необходимо определить уровень защищенности информационной системы.

Уровни защищенности ПДн при их обработке установлены постановлением правительства РФ от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Как подобрать уровень защищенности персональных данных

Уровень защищенности персональных данных — это набор условий, которые, действуя в комплексе, нейтрализуют угрозу безопасности информационных систем персональных данных (ИСПДн).

Первый пункт, по которому стоит разделять отношения между организацией и субъектом обработки ПДн – форма взаимодействия. Она может быть:

— Трудовой – то есть, осуществляется обработка персональных данных сотрудников;

— Иной – осуществляется обработка данных, которые не являются работниками организации.

Второй – количество людей, персональные данные которых обрабатываются. Определены две категории:

— Менее 100 000 субъектов;

— Более 100 000 субъектов.

Типы актуальных угроз

Угроза 1 типа: наличие установленного незадекларированного программного обеспечения, у которого есть доступ к ПДн.

Угроза 2 типа: наличие прикладного ПО с незадекларированными возможностями, имеющего доступ к ПДн.

Угроза 3 типа: не связана с незадекларированными возможностями программного обеспечения.

Категории персональных данных

Общедоступные – которые в неограниченном доступе представил сам субъект;

Биометрические – характеризующие физиологические и биологические особенности человека;

Специальные – информация о политических, религиозных и философских убеждениях, национальной и расовой принадлежности, данные о здоровье и интимной жизни;

Иные – не попавшие не в одну из трех предыдущих категорий.

Какой тип защиты выбрать?

Рекомендаций по установлению типа актуальных угроз нет. Каждый оператор персональных данных определяет уровень защищенности в информационной системе самостоятельно. Чтобы правильно выбрать категорию, необходимо сопоставить все данные.

Категория ПДн Категория субъектов Количество Тип актуальных угроз
1 тип 2 тип 3 тип
Общедоступные Не сотрудники Более 100 000 УЗ 2 УЗ 3 УЗ 4
Менее 100 000 УЗ 2 УЗ 3 УЗ 4
Сотрудники Любое УЗ 2 УЗ 3 УЗ 4
Биометрические Не сотрудники Более 100 000 УЗ 1 УЗ 2 УЗ 3
Менее 100 000 УЗ 1 УЗ 2 УЗ 3
Сотрудники Любое УЗ 1 УЗ 2 УЗ 3
Специальные Не сотрудники Более 100 000 УЗ 1 УЗ 1 УЗ 2
Менее 100 000 УЗ 1 УЗ 2 УЗ 3
Сотрудники Любое УЗ 1 УЗ 2 УЗ 3
Иные Не сотрудники Более 100 000 УЗ 1 УЗ 2 УЗ 3
Менее 100 000 УЗ 1 УЗ 3 УЗ 4
Сотрудники Любое УЗ 1 УЗ 3 УЗ 4

После того, как уровень защищенности определен, оператору необходимо разработать меры по защите персональных данных самостоятельно, либо с привлечением подрядчиков. Требования по защите персональных данных обозначены в приказе №21 ФСТЭК России от 18 февраля 2013 года.

Работоспособность системы проверяется раз в три года.

Уровень защиты рекомендуется выбирать в соответствии с потребностями системы. Завышение приводит к увеличению стоимости системы и увеличению количества ненужных технических и организационных мер. Занижение уровня защищенности ПДн является нарушением.