Обзор законодательства
Что на счет защиты: определяем необходимый уровень защищенности персональных данных
Согласно законодательству РФ, операторы персональных данных должны не только корректно обрабатывать информацию, но и надежно ее хранить. Чтобы корректно осуществлять обработку и хранение ПДн, оператору необходимо определить уровень защищенности информационной системы.
Уровни защищенности ПДн при их обработке установлены постановлением правительства РФ от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Как подобрать уровень защищенности персональных данных
Уровень защищенности персональных данных — это набор условий, которые, действуя в комплексе, нейтрализуют угрозу безопасности информационных систем персональных данных (ИСПДн).
Первый пункт, по которому стоит разделять отношения между организацией и субъектом обработки ПДн – форма взаимодействия. Она может быть:
— Трудовой – то есть, осуществляется обработка персональных данных сотрудников;
— Иной – осуществляется обработка данных, которые не являются работниками организации.
Второй – количество людей, персональные данные которых обрабатываются. Определены две категории:
— Менее 100 000 субъектов;
— Более 100 000 субъектов.
Типы актуальных угроз
Угроза 1 типа: наличие установленного незадекларированного программного обеспечения, у которого есть доступ к ПДн.
Угроза 2 типа: наличие прикладного ПО с незадекларированными возможностями, имеющего доступ к ПДн.
Угроза 3 типа: не связана с незадекларированными возможностями программного обеспечения.
Категории персональных данных
— Общедоступные – которые в неограниченном доступе представил сам субъект;
— Биометрические – характеризующие физиологические и биологические особенности человека;
— Специальные – информация о политических, религиозных и философских убеждениях, национальной и расовой принадлежности, данные о здоровье и интимной жизни;
— Иные – не попавшие не в одну из трех предыдущих категорий.
Какой тип защиты выбрать?
Рекомендаций по установлению типа актуальных угроз нет. Каждый оператор персональных данных определяет уровень защищенности в информационной системе самостоятельно. Чтобы правильно выбрать категорию, необходимо сопоставить все данные.
Категория ПДн | Категория субъектов | Количество | Тип актуальных угроз | ||
1 тип | 2 тип | 3 тип | |||
Общедоступные | Не сотрудники | Более 100 000 | УЗ 2 | УЗ 3 | УЗ 4 |
Менее 100 000 | УЗ 2 | УЗ 3 | УЗ 4 | ||
Сотрудники | Любое | УЗ 2 | УЗ 3 | УЗ 4 | |
Биометрические | Не сотрудники | Более 100 000 | УЗ 1 | УЗ 2 | УЗ 3 |
Менее 100 000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
Сотрудники | Любое | УЗ 1 | УЗ 2 | УЗ 3 | |
Специальные | Не сотрудники | Более 100 000 | УЗ 1 | УЗ 1 | УЗ 2 |
Менее 100 000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
Сотрудники | Любое | УЗ 1 | УЗ 2 | УЗ 3 | |
Иные | Не сотрудники | Более 100 000 | УЗ 1 | УЗ 2 | УЗ 3 |
Менее 100 000 | УЗ 1 | УЗ 3 | УЗ 4 | ||
Сотрудники | Любое | УЗ 1 | УЗ 3 | УЗ 4 |
После того, как уровень защищенности определен, оператору необходимо разработать меры по защите персональных данных самостоятельно, либо с привлечением подрядчиков. Требования по защите персональных данных обозначены в приказе №21 ФСТЭК России от 18 февраля 2013 года.
Работоспособность системы проверяется раз в три года.
Уровень защиты рекомендуется выбирать в соответствии с потребностями системы. Завышение приводит к увеличению стоимости системы и увеличению количества ненужных технических и организационных мер. Занижение уровня защищенности ПДн является нарушением.