Что относится к испдн примеры
Персональные данные (Классификация ИСПДн)
Как же классифицировать специальную ИСПДн?
Если в Вашей ИСПДн содержатся персональные данные, касающиеся расовой, национальной принадлежности,
политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, то тут все просто:
класс вашей системы К1. И не важно, 10 это записей или 100 000. Далее Вы или защищаете систему по К1 в соответствии с требованиями приказа ФСТЭК №58, или понижаете класс, ну например, путем обезличивания таких данных.
Теперь представим себе некую ИСПДн, которую нам необходимо классифицировать. Пусть это будет большое предприятие, которое оказывает услуги своим Клиентам.
Исходные данные нашей системы:
1. Объем персональных данных — более 100 000.
2. Категория персональных данных — 2( т.е. это персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию).
3. Структура информационной системы — распределенная;
4. Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена — есть;
5. Режим обработки персональных данных — многопользовательский;
6. Режим разграничения прав доступа пользователей информационной системы — с разграничением прав доступа;
7. Местонахождение технических средств информационной системы — в пределах Российской Федерации.
Но классифицировать такую систему по табличке из приказа № 55\86\20 мы не можем, т.к. «По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов». Не расстраиваемся, читаем приказ дальше и видим такой пункт:
16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем придти к обоснованному выводу, что негативные последствия может нанести нарушение конфиденциальности сведений (например распространение сведений об ивалидности сотрудника). Реализация всех остальных угроз приведут к незначительным негативным последствиям, потому как приняты (или будут приняты в дальнейшем в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно классифицирована нами как К2.
Классификация информационных систем персональных данных
Классификация ИСПДн осуществляется непосредственно оператором на основании следующих руководящих и методических документов, подлежащих исполнению при проведении работ:
Классификация ИСПДн проводится на этапе создания ИСПДн или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых ИСПДн) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности ПДн.
Проведение классификации ИСПДн включает в себя следующие этапы:
Для проведения классификации оператор создает комиссию по классификации ИСПДн, состав комиссии утверждается руководителем оператора (Проект приказа).
На первом этапе комиссия проводит сбор и анализ исходных данных по каждой информационной системе, обрабатывающей сведения, указанные в Перечне персональных данных, подлежащих защите, а именно:
Состав и структура ПДн
Перечислить какие ПДн обрабатываются в ИСПДн
Категория ПДн, обрабатываемых в ИСПДн
Объем ПДн, обрабатываемых в ИСПДн
Количество рабочих станций, входящих в состав ИСПДн
Автоматизированное рабочее место/Локальная ИСПДн / Распределенная ИСПДн
Количество пользователей, допущенных к работе в ИСПДн
Режим обработки ПДн в ИСПДн
Однопользовательская ИСПДн / многопользовательская ИСПДн с равными правами доступа/ многопользовательская ИСПДн с разными правами доступа
Подключение ИСПДн к локальным (распределенным) сетям общего пользования
Имеется / не имеется
Подключение ИСПДн к сетям международного информационного обмена
Имеется / не имеется
Местонахождение технических средств ИСПДн
Все технические средства ИСПДн находятся в пределах Российской Федерации / технические средства ИСПДн частично или целиком находятся за пределами Российской Федерации
К ПДн позволяющим идентифицировать человека относятся такие данные, которые позволяют установить личность человека.
Например, на основании только фамилии, имени и отчества нельзя точно установить личность, т.к. существуют полные однофамильцы. Но если в ИСПДн помимо ФИО обрабатываются также данные об адресе проживания, биометрические данные (фотографическое изображение), данные о месте работы и т.д., то уже на основании их можно выделить конкретного человека.
Обезличенными данными являются данные, на основании которых нельзя идентифицировать субъекта ПДн.
Если в ИСПДн все пользователи (администраторы, операторы, разработчики) обладают одинаковым набором прав доступа или осуществляют вход под единой учетной записью и вход под другими учетными записями не осуществляется, то эта ИСПДн с равными правами доступа (полномочиями) ко всей информации ИСПДн разных пользователей, в противном случае с разными правами доступа (полномочиями) ко всей информации ИСПДн разных пользователей.
К специальным ИСПДн должны быть отнесены:
На втором этапе комиссия по результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов:
Класс типовой ИСПДн определяется в соответствии с таблицей:
Что такое ИСПДн — информационные системы персональных данных, и зачем в них стоит разобраться
Если вы храните персональные данные, то обязаны их защищать. Для защиты нужно знать, насколько система, в которой они хранятся, подвержена угрозам. Чтобы это понять, надо определить, к какому виду и классу относится она и сами данные. Разберем, что такое ИСПДн и что полезно знать про такие системы, если вы работаете с персональными данными.
Что такое ИСПДн: раскладываем по полочкам
ИСПДн — это информационная система персональных данных. Она включает в себя сами персональные данные и средства, которые используют для их обработки и защиты.
Например, у вас интернет-магазин и вы собираете в базу персональные данные клиентов. В таком случае вы оператор персональных данных, а к вашей ИСПДн относят:
ИСПДн делят на виды и классы, в зависимости от разных параметров. При этом сами данные — обязательная часть системы. Поэтому когда мы говорим о видах и классах ИСПДн, мы можем говорить о видах и классах самих персональных данных.
Какие бывают виды ИСПДн
Согласно документу ФСТЭК об определении угроз, ИСПДн делят на несколько групп по разными критериям. У каждой группы есть базовая защищенность, которую нужно знать, чтобы определить общий уровень защищенности системы.
Общий уровень защищенности считается так:
Ниже расскажем, на какие группы ИСПДн делят, а также как оценить общий уровень защищенности системы с учетом базовой защищенности групп, к которым ее относят.
Группы ИСПДн по территориальному размещению:
| Тип системы | Уровень защищенности |
| Распределенная | Низкий |
| Городская | Низкий |
| Корпоративная распределенная | Средний |
| Кампусная | Средний |
| Локальная | Высокий |
Низкий уровень защищенности по какому-либо параметру не означает, что система всегда будет уязвима и данные в ней хранить опасно — это всего лишь накладывает на владельца системы дополнительные обязанности по защите данных.
Группы ИСПДн по наличию выхода в интернет:
| Тип системы | Уровень защищенности |
| С многоточечным выходом в интернет | Низкий |
| С одноточечным выходом в интернет | Средний |
| Без выхода в интернет | Высокий |
Группы ИСПДн по доступным операциям с данными:
| Тип системы | Уровень защищенности |
| Модификация и передача данных | Низкий |
| Запись, удаление и сортировка данных | Средний |
| Только чтение и поиск | Высокий |
Группы ИСПДн по разграничению доступа к персональным данным:
| Тип системы | Уровень защищенности |
| Доступ есть у всех сотрудников оператора | Низкий |
| Доступ есть у некоторых сотрудников оператора | Средний |
Формально может существовать система, в которой доступ к персональным данным есть у любого постороннего человека. Но это запрещено законом — персональные данные не должны находиться в открытом доступе.
Группы ИСПДн по уровню обезличивания данных:
| Тип системы | Уровень защищенности |
| Данные не обезличивают даже для передачи | Низкий |
| Данные обезличивают при передаче, но сотрудники оператора могут получить их необезличенными | Средний |
| Система выдает только обезличенные данные | Высокий |
Группы ИСПДн по объему предоставления базы данных другим компаниям:
| Тип системы | Уровень защищенности |
| По запросу оператор предоставляет полный доступ к данным | Низкий |
| По запросу оператор выдает доступ только к части данных | Средний |
| Оператор не передает никакие данные, хранит базу только для себя | Высокий |
Предположим, у вашей компании филиалы в разных городах, доступ к интернету многоточечный, доступ к данным разрешен только некоторым сотрудникам, разрешены только чтение и поиск данных, система выдает обезличенные данные и компания хранит данные только для себя. Получается, что по одному критерию у вас низкий уровень защищенности, по двум средний, а по остальным трем — высокий. И у вашей ИСПДн будет средний общий уровень защищенности.
Но мало знать уровень защищенности ИСПДн и актуальные угрозы — конкретные технические требования к защите системы зависят еще и от уровня защищенности персональных данных.
Уровни защищенности персональных данных и классы защищенности ИСПДн
До 11 марта 2013 года все, кто работал с персональными данными, обязаны были провести классификацию своей ИСПДн. Для этого нужно было собрать специальную комиссию и тщательно проанализировать систему. Теперь приказ, который обязывал это делать, отменен. Соответственно, классификация ИСПДн по защищенности тоже больше не действует.
Зато теперь уровни защищенности появились у персональных данных. Всего их четыре — чем выше уровень, тем более серьезная защита нужна данным. Уровни защищенности описаны в 1119 постановлении Правительства, меры защиты — в 21 приказе ФСТЭК.
Как определить уровень защищенности персональных данных в зависимости от того, какие данные вы храните и какие угрозы актуальны для вашей ИСПДн
Мы подробно разбирали уровни защищенности, категории персональных данных и типы актуальных угроз в статье о защите персональных данных в облаке.
Если вам нужно хранить данные третьего уровня защищенности и выше, необходимо провести аттестацию ИСПДн во ФСТЭК. В ходе аттестации ФСТЭК проверяет вашу систему: смотрит, правильно ли вы оценили угрозы, используете ли подходящие технические средства защиты, обеспечили ли достаточную безопасность персональным данным. По итогам проверки выдается аттестат, который подтверждает, что ваша ИСПДн достаточно надежна.
Классификация информационных систем персональных данных
Защита персональных данных
с помощью DLP-системы
П остановлением № 1119, принятым 1 ноября 2012 г., утверждены требования, распространяющиеся на защиту персональных данных (ПД) при их обработке в информсистемах. Также этот норматив определяет несколько уровней защищенности такой информации.
Предприятие, использующее персональную информацию, определяет уровень, который должен обеспечить ее защищенность, и оформляет при этом соответствующий акт.
Система защиты персональных данных
Эту систему составляют мероприятия организационной и технической направленности, определяемые в зависимости от реальных угроз, которые имеют место во время обработки ПД и использования при этом информационных технологий в информсистемах.
Обеспечение безопасности должен предусмотреть оператор, занимающийся обработкой ПД. Это может быть конкретное лицо, на которое возложены обязанности, или выполняющее поручение оператора по договору (уполномоченное лицо). Соглашение между предприятием и уполномоченными лицами составляется с учетом обязанности этих лиц обеспечивать безопасность ПД во время их обработки в информационной системе персональных данных (ИСПДн).
ИСПДн имеет вид системы, в которой обрабатываются специальные категории данных, относящихся к персональным по расовым, национальным признакам, политическим, религиозным, философским взглядам и убеждениям, состоянию здоровья, личной жизни каждого субъекта ПД.
ИС по обработке биометрической информации имеет вид системы, в которой обрабатываются сведения по физиологическим, биологическим параметрам субъекта, позволяющим определить его личность и применяемым оператором для этих целей. Но не проходят обработку данные, имеющие отношение к специальному виду ПД.
Информсистемы с общедоступными данными обрабатывают информацию, которая получена из источников ПД, являющихся общедоступными, сформированных в соответствии со ст. 8 закона о персональных данных.
Информсистема, осуществляющая обработку ПД работников предприятия, производит все действия с их использованием только в отношении своих работников. В других случаях ИСПДн считается информсистемой, в которой проходит обработку информация о субъектах, не являющихся сотрудниками предприятия.
Актуальные угрозы, типы
К актуальным относят угрозы, представляющие собой группу условий и факторов, создающих определенную опасность неразрешенного (также и случайного) доступа к ПД во время работы с ними в ИС. Такие действия могут привести к тому, что важная конфиденциальная информация может быть уничтожена, изменена, заблокирована, скопирована, предоставлена кому-либо, распространена или даже использована для выполнения неправомерных действий.
Законодательство выделяет три типа угроз, которые могут быть актуальными для персональных данных:
Оператор самостоятельно определяет для себя тип угроз, актуальных для безопасности ПД, учитывая возможный ущерб, который они могут нанести, и ориентируясь на пункт 5 части 1 ст. 18 ФЗ о персональных данных, а также на ч. 4 ст. 19 этого же документа.
Классификация
ИСПДн классифицируются по структурным признакам и бывают:
Режим работы с ПД в ИСПДн разделяет их на одно- и многопользовательские. Первые встречаются довольно редко, обычно в пределах одного рабочего места может находиться от двух взаимозаменяемых человек.
Многопользовательские ИСПДн подразделяются на:
По расположению:
Уровни защищенности
Во время обработки ПД в информсистемах предусматривается установка четырех уровней защищенности этих данных.
Чтобы обеспечить первый уровень, необходимо соблюдение хотя бы одного из ниже перечисленных условий:
Обеспечить второй уровень необходимо, если соблюдается хоть одно из условий:
Требуется создать эффективную защиту для персональной информации с использованием 3-го уровня, если соблюдается одно из условий:
Четвертый уровень ИСПДн предусматривается, если будет присутствовать одно из условий в информационной системе:
Обеспечение защищенности
Чтобы обеспечить 4-й уровень защищенности ПД, необходимо выполнять следующие требования:
Третий уровень защищенности ПД во время их обработки в ИС должен обеспечиваться вышеперечисленными требованиями, а также путем назначения конкретного должностного лица, которое будет отвечать за обеспечение безопасности ПД в информсистеме.
Второй уровень ИСПДн в дополнение ко всем перечисленным требованиям должен обеспечиваться ограничением доступа к содержанию электронной формы журнала сообщений. Доступ должен разрешаться только должностным лицам оператора (уполномоченным оператором лицам), использующим сведения, имеющиеся и поступающие в журнал, для выполнения своих рабочих или служебных полномочий.
Чтобы обеспечить первый уровень защищенности ПД во время их обработки в информсистемах, кроме всех требований, описанных в этом разделе, нужно выполнять дополнительные условия:
Оператор должен обеспечить контроль над соблюдением всех требований, установленных законодательством РФ в отношении использования персональных данных. Сделать это можно как самостоятельно, так и с привлечением по договору лицензированных юридических лиц, ИП для организации технической защиты персональной информации и конфиденциальных данных. Такой контроль должен осуществляться 1 раз в три года. Сроки оператор устанавливает самостоятельно.
Акт классификации ИСПДн
Акт должен определять структуру всей системы ПД, а также режим, в котором будут обрабатываться конфиденциальные сведения. Этот документ относится к категории хранящихся под грифом конфиденциальности, ему должен быть присвоен учетный номер.
Чтобы провести классификацию, оператор должен создать на предприятии специальную комиссию. В ее состав должно войти в обязательном порядке лицо, ответственное за защищенность персональных данных. Комиссию назначают приказом собственника предприятия. Этот орган должен осуществлять свою деятельность с учетом Положения о такой комиссии. Результаты ее работы оформляются актом классификации ИСПДн. Подписанный всеми членами комиссии акт утверждается ее председателем.
Типы и классификация ИСПДн
Содержание данной статьи проверено и подтверждено:
Кобец Дмитрий Андреевич
ИСПДн – это информационная система персональных данных.
Она представляет собой систему из набора персональных данных (далее – ПДн), который располагается в базе данных (далее – БД), а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Она может производиться с использованием средств вычислительной техники, либо же без их использования, то есть вручную оператором.
Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора.
ИСПДн на примере
Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной информационной системе будет располагаться БД персональных данных действующих и уволенных сотрудников. В данную систему будут входить все средства, которые способствуют обработке этих данных. Например АРМы, серверы, программное обеспечение, применяемые средства защиты информации.
Классификация и типы ИСПДн
Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению:
Типы ИСПДн
Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы ИС, которые обрабатывают ПДн, относящиеся к следующим категориям:
Актуальные угрозы ИСПДн
После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы:
К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
Уровни защищенности ИСПДн
Существует четыре уровня защищенности.
Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов:
Составим таблицу определения уровня защищенности ИСПДн согласно ПП №1119.
| Категория ПДн | Отношение субъекта ПДн к оператору | Количество ПДн | Актуальные угрозы | ||
| У 1 | У 2 | У 3 | |||
| специальные | не сотрудник | более 100000 | УЗ 1 | УЗ 1 | УЗ 2 |
| менее 100000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
| сотрудник | нет ограничений | УЗ 1 | УЗ 2 | УЗ 3 | |
| биологические | не сотрудник | более 100000 | УЗ 1 | УЗ 2 | УЗ 3 |
| менее 100000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
| сотрудник | нет ограничений | УЗ 1 | УЗ 2 | УЗ 3 | |
| общедоступные | не сотрудник | более 100000 | УЗ 2 | УЗ 2 | УЗ 4 |
| менее 100000 | УЗ 2 | УЗ 3 | УЗ 4 | ||
| сотрудник | нет ограничений | УЗ 2 | УЗ 3 | УЗ 4 | |
| иные | не сотрудник | более 100000 | УЗ 1 | УЗ 2 | УЗ 3 |
| менее 100000 | УЗ 1 | УЗ 3 | УЗ 4 | ||
| сотрудник | нет ограничений | УЗ 1 | УЗ 3 | УЗ 4 | |
ИСПДн: основные моменты
Чтобы определить, как именно защищать вашу ИС, в которой обрабатываются персональные данные ваших сотрудников или клиентов, необходимо определить уровень защищенности. Для этого нужно знать следующее:
Зная все эти сведения, можно легко установить уровень защищенности вашей ИС. Меры для обеспечения всех вышеприведенных уровней защищенности определены в законодательных документах.