Что относится к испдн
Классификация информационных систем персональных данных
Защита персональных данных
с помощью DLP-системы
П остановлением № 1119, принятым 1 ноября 2012 г., утверждены требования, распространяющиеся на защиту персональных данных (ПД) при их обработке в информсистемах. Также этот норматив определяет несколько уровней защищенности такой информации.
Предприятие, использующее персональную информацию, определяет уровень, который должен обеспечить ее защищенность, и оформляет при этом соответствующий акт.
Система защиты персональных данных
Эту систему составляют мероприятия организационной и технической направленности, определяемые в зависимости от реальных угроз, которые имеют место во время обработки ПД и использования при этом информационных технологий в информсистемах.
Обеспечение безопасности должен предусмотреть оператор, занимающийся обработкой ПД. Это может быть конкретное лицо, на которое возложены обязанности, или выполняющее поручение оператора по договору (уполномоченное лицо). Соглашение между предприятием и уполномоченными лицами составляется с учетом обязанности этих лиц обеспечивать безопасность ПД во время их обработки в информационной системе персональных данных (ИСПДн).
ИСПДн имеет вид системы, в которой обрабатываются специальные категории данных, относящихся к персональным по расовым, национальным признакам, политическим, религиозным, философским взглядам и убеждениям, состоянию здоровья, личной жизни каждого субъекта ПД.
ИС по обработке биометрической информации имеет вид системы, в которой обрабатываются сведения по физиологическим, биологическим параметрам субъекта, позволяющим определить его личность и применяемым оператором для этих целей. Но не проходят обработку данные, имеющие отношение к специальному виду ПД.
Информсистемы с общедоступными данными обрабатывают информацию, которая получена из источников ПД, являющихся общедоступными, сформированных в соответствии со ст. 8 закона о персональных данных.
Информсистема, осуществляющая обработку ПД работников предприятия, производит все действия с их использованием только в отношении своих работников. В других случаях ИСПДн считается информсистемой, в которой проходит обработку информация о субъектах, не являющихся сотрудниками предприятия.
Актуальные угрозы, типы
К актуальным относят угрозы, представляющие собой группу условий и факторов, создающих определенную опасность неразрешенного (также и случайного) доступа к ПД во время работы с ними в ИС. Такие действия могут привести к тому, что важная конфиденциальная информация может быть уничтожена, изменена, заблокирована, скопирована, предоставлена кому-либо, распространена или даже использована для выполнения неправомерных действий.
Законодательство выделяет три типа угроз, которые могут быть актуальными для персональных данных:
Оператор самостоятельно определяет для себя тип угроз, актуальных для безопасности ПД, учитывая возможный ущерб, который они могут нанести, и ориентируясь на пункт 5 части 1 ст. 18 ФЗ о персональных данных, а также на ч. 4 ст. 19 этого же документа.
Классификация
ИСПДн классифицируются по структурным признакам и бывают:
Режим работы с ПД в ИСПДн разделяет их на одно- и многопользовательские. Первые встречаются довольно редко, обычно в пределах одного рабочего места может находиться от двух взаимозаменяемых человек.
Многопользовательские ИСПДн подразделяются на:
По расположению:
Уровни защищенности
Во время обработки ПД в информсистемах предусматривается установка четырех уровней защищенности этих данных.
Чтобы обеспечить первый уровень, необходимо соблюдение хотя бы одного из ниже перечисленных условий:
Обеспечить второй уровень необходимо, если соблюдается хоть одно из условий:
Требуется создать эффективную защиту для персональной информации с использованием 3-го уровня, если соблюдается одно из условий:
Четвертый уровень ИСПДн предусматривается, если будет присутствовать одно из условий в информационной системе:
Обеспечение защищенности
Чтобы обеспечить 4-й уровень защищенности ПД, необходимо выполнять следующие требования:
Третий уровень защищенности ПД во время их обработки в ИС должен обеспечиваться вышеперечисленными требованиями, а также путем назначения конкретного должностного лица, которое будет отвечать за обеспечение безопасности ПД в информсистеме.
Второй уровень ИСПДн в дополнение ко всем перечисленным требованиям должен обеспечиваться ограничением доступа к содержанию электронной формы журнала сообщений. Доступ должен разрешаться только должностным лицам оператора (уполномоченным оператором лицам), использующим сведения, имеющиеся и поступающие в журнал, для выполнения своих рабочих или служебных полномочий.
Чтобы обеспечить первый уровень защищенности ПД во время их обработки в информсистемах, кроме всех требований, описанных в этом разделе, нужно выполнять дополнительные условия:
Оператор должен обеспечить контроль над соблюдением всех требований, установленных законодательством РФ в отношении использования персональных данных. Сделать это можно как самостоятельно, так и с привлечением по договору лицензированных юридических лиц, ИП для организации технической защиты персональной информации и конфиденциальных данных. Такой контроль должен осуществляться 1 раз в три года. Сроки оператор устанавливает самостоятельно.
Акт классификации ИСПДн
Акт должен определять структуру всей системы ПД, а также режим, в котором будут обрабатываться конфиденциальные сведения. Этот документ относится к категории хранящихся под грифом конфиденциальности, ему должен быть присвоен учетный номер.
Чтобы провести классификацию, оператор должен создать на предприятии специальную комиссию. В ее состав должно войти в обязательном порядке лицо, ответственное за защищенность персональных данных. Комиссию назначают приказом собственника предприятия. Этот орган должен осуществлять свою деятельность с учетом Положения о такой комиссии. Результаты ее работы оформляются актом классификации ИСПДн. Подписанный всеми членами комиссии акт утверждается ее председателем.
Типы и классификация ИСПДн
Содержание данной статьи проверено и подтверждено:
Кобец Дмитрий Андреевич
ИСПДн – это информационная система персональных данных.
Она представляет собой систему из набора персональных данных (далее – ПДн), который располагается в базе данных (далее – БД), а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Она может производиться с использованием средств вычислительной техники, либо же без их использования, то есть вручную оператором.
Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора.
ИСПДн на примере
Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной информационной системе будет располагаться БД персональных данных действующих и уволенных сотрудников. В данную систему будут входить все средства, которые способствуют обработке этих данных. Например АРМы, серверы, программное обеспечение, применяемые средства защиты информации.
Классификация и типы ИСПДн
Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению:
Типы ИСПДн
Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы ИС, которые обрабатывают ПДн, относящиеся к следующим категориям:
Актуальные угрозы ИСПДн
После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы:
К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
Уровни защищенности ИСПДн
Существует четыре уровня защищенности.
Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов:
Составим таблицу определения уровня защищенности ИСПДн согласно ПП №1119.
| Категория ПДн | Отношение субъекта ПДн к оператору | Количество ПДн | Актуальные угрозы | ||
| У 1 | У 2 | У 3 | |||
| специальные | не сотрудник | более 100000 | УЗ 1 | УЗ 1 | УЗ 2 |
| менее 100000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
| сотрудник | нет ограничений | УЗ 1 | УЗ 2 | УЗ 3 | |
| биологические | не сотрудник | более 100000 | УЗ 1 | УЗ 2 | УЗ 3 |
| менее 100000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
| сотрудник | нет ограничений | УЗ 1 | УЗ 2 | УЗ 3 | |
| общедоступные | не сотрудник | более 100000 | УЗ 2 | УЗ 2 | УЗ 4 |
| менее 100000 | УЗ 2 | УЗ 3 | УЗ 4 | ||
| сотрудник | нет ограничений | УЗ 2 | УЗ 3 | УЗ 4 | |
| иные | не сотрудник | более 100000 | УЗ 1 | УЗ 2 | УЗ 3 |
| менее 100000 | УЗ 1 | УЗ 3 | УЗ 4 | ||
| сотрудник | нет ограничений | УЗ 1 | УЗ 3 | УЗ 4 | |
ИСПДн: основные моменты
Чтобы определить, как именно защищать вашу ИС, в которой обрабатываются персональные данные ваших сотрудников или клиентов, необходимо определить уровень защищенности. Для этого нужно знать следующее:
Зная все эти сведения, можно легко установить уровень защищенности вашей ИС. Меры для обеспечения всех вышеприведенных уровней защищенности определены в законодательных документах.
Классификация информационных систем персональных данных (отменена)
Внимание! C 11 марта 2013 года классификация ИСПДн по «приказу трёх» отменена (Приказ ФСТЭК/ФСБ/Минкомсвязи №151/786/461).
В настоящее время процедура классификации проводится только для Государственных информационных систем (ГИС) в рамках выполнения требований 17-го приказа ФСТЭК.
До 11 марта 2013 г. все организации, в том числе государственные и муниципальные органы, которые осуществляют обработку персональных данных, обязаны были проводить классификацию информационных систем, а также определять цели и содержание такой обработки. Классификация проводилась с целью определения способов и методов, которые необходимо было применять для защиты персональных данных. Классификация проводилась как на стадии создания информационной системы, так и на стадии ее модернизации.
В ходе проведения классификации члены комиссии должны были осуществить анализ собранной информации (исходных данных) об информационной системе, таких как:
По результатам анализа комиссия должна была определить класс информационной системы при помощи следующей таблицы:
| Категория обрабатываемых персональных данных (ПДн) | Количество субъектов ПДн | ||||||||
| более 100 тыс. | в объеме | от 1 тыс. до 100 тыс. | в объеме | до 1 тыс. субъектов | |||||
| РФ | субъекта РФ | отрасли | органа власти | муниципального образования | организации | ||||
| касающиеся национальной и расовой принадлежности, религиозных либо философских убеждений, здоровья и интимной жизни | класс 1 (К1) | класс 1 (К1) | класс 1 (К1) | ||||||
| позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию | класс 1 (К1) | класс 2 (К2) | класс 3 (К3) | ||||||
| позволяющие идентифицировать субъекта ПДн | класс 2 (К2) | класс 3 (К3) | класс 3 (К3) | ||||||
| обезличенные или общедоступные ПДн | класс 4 (К4) | класс 4 (К4) | класс 4 (К4) | ||||||
Напоминаем вам, что в настоящий момент классификацию ИСПДн проводить не нужно, так как отменен устанавливающий эту процедуру нормативный акт. В настоящее время для определения базового набора мез защиты необходимо определять уровень защищенности.
Классификация ИСПДн
Классификация ИСПДн требуется для выстраивания защиты уже существующей либо проектируемой системы, которая обрабатывает персональные данные. Чем нужно руководствоваться в процессе разработки организационно-технических мероприятий по предупреждению угроз безопасности.
Если возникнут трудности с приведением деятельности в соответствие с актуальными правовыми нормами, есть смысл привлечь специалистов нашего центра.
Как правильно классифицировать ИСПДн: категории ПДн и другие критерии
В течение 5 лет информационные системы, обрабатывающие личные сведения граждан, требовалось делить на классы. Необходимость выполнения разделения была прописана Совместным приказом регулирующих органов (ФСБ, Мининформсвязи и Федеральной службы безопасности России), принятым 13 февраля 2008 года. Определение класса ИСПДн могло осуществляться на любом этапе. Для выполнения всех предусмотренных законом действий создавалась специальная комиссия, которая должны была оценить прописанные в приказе параметры, для того, чтобы в зависимости от присвоенного класса имелась возможность адекватно подобрать те или иные методики и оборудование СЗПДн.
Ключевыми критериями, которые принимались во внимание, были:
Проанализировав совокупность указанных выше свойств системы, экспертам нужно было установить, к какому из четырех классов она принадлежит, и с учетом этого проектировать СЗПДн.
4 класса ИСПДн
Итоги исследований и решение о присвоении того или иного класса ИСПДн предстояло зафиксировать в отдельном документе — акте, который подписывался членами сформированной комиссии. Изначальное решение могло быть изменено, если:
Нужна ли классификация информационных систем персональных данных в 2021 году?
После того, как в 2012 году было принято Постановление Правительства № 1119, регулирующее требования в отношении ИСПДн, необходимость проводить классификацию исчезла. Отмену разделения уполномоченные органы прописали в соответствующих приказах, что позволило с марта 2013 года ограничиться установлением уровня защищенности ИСПДн (всего уровней 4). Его определяют на основании типа УБ, категории и количества субъектов информационной системы, а также взаимоотношений с ними (сотрудники или нет).
Открываем занавес неизвестного – что это такое информационные системы персональных данных и как с ними работать?
Информационными системами персональных данных (ИСПДн) в своей деятельности пользуются многие компании и организации, как государственные, так и муниципальные.
Что такое государственные и частные ИСПДн, особенности частных и государственных ИСПДн, узнаем определения и рассмотрим особенности данных систем, а также основные процессы работы с ними.
Расскажем инструкция регламентирует какие обязанности оператора ИСПДн регламентирует инструкция по обеспечению безопасности обрабатываемой информации.
Что это такое государственные и частные ИСПДн?
Информационная система ПДн предназначена для хранения и обработки личной информации. Она состоит из:
Особенности частных
Для большинства крупных частных предприятий и компаний, которые работают в России, неотъемлемыми стали программы бухучета, занимающиеся обработкой данных о:
В зависимости от характера деятельности в разных фирмах и на производстве появляются специфические системы, которые обрабатывают ПДн:
Все перечисленные системы обслуживают бизнес-процессы.
Государственные
Российское законодательство в области ПДн основано на Конституции РФ и международных договорах России и состоит из действующего ФЗ-152 «О персональных данных» и прочих законов, определяющих случаи и тонкости обработки персональной информации.
Согласно федеральным законам, государственные органы имеют полномочия на принятие нормативных актов по определенным вопросам относительно обработки ПДн.Данные акты не могут нести в себе положения, которые ограничивают права субъектов личных данных. Указанные проекты официально публикуются. Исключение составляют акты или конкретные их положения, содержащие информацию, доступ к которой ограничивается законом.
Обработка ПДн
Процесс обработки ПДн – это изменение, добавление, хранение, удаление, анализ или распространение персональной информации. У каждой ИСПДн обязательно должна быть конкретная цель обработки. Она и служит главным критерием при выделении категории ИСПДн.
Обработкой данных занимается оператор – это государственный, частный орган, физическое или юридическое лицо, работающее с персональной информацией. Оператор определяет цели и характер обработки ПДн.
Сотрудник следит за работой средств, защищающих информацию, регулярно проводит антивирусные проверки, консультирует сотрудников по теме безопасности личных данных.
Кроме того, каждая ИСПДн должна иметь разработанную «Частную модель актуальных угроз». Данный документ выделяет среди всех потенциальных угроз безопасности информации те, которые представляют реальную опасность. Модель строится на основании оценок экспертов.
Аттестация
Аттестация ИСПДн обязательна только для государственных систем персональных данных. Операторы обязаны их защищать в соответствии с Правилами защиты сведений, не являющихся государственной тайной, которые содержатся в государственных ИСПДн. Правила утверждены Приказом ФСТЭК РФ №17 от 2013 года.
Для негосударственных информационных систем аттестат соответствия нормам безопасности может пригодиться в том случае, когда необходимо доказывать требуемую степень защиты ИСПДн. Для частных систем аттестация проводится добровольно. Для этого могут использоваться Специальные рекомендации и требования по защите конфиденциальных данных (СТР-К). Доступ к указанному документу ограничен. Его можно получить исключительно в управлении ФСТЭК.
Процедура аттестации проводится компанией, обладающей лицензией на ведение дел по технической защите информационных ресурсов. Для этого создается аттестационная комиссия, включающая экспертов в сфере информационной безопасности. Задача команды – оценить соответствие технических и организационных мероприятий, испытать программные средства защиты ПДн.
Для частных компаний может быть достаточно получения декларации соответствия. Документ составляет оператор, привлекая специалистов в сфере защиты ПДн.
Матрица доступа
Особенности избирательного управления доступом описываются моделью системы на основе матрицы доступа (МД). Также она называется матрицей контроля доступа. МД – это прямоугольная матрица, в рамках которой объект системы – это строка, а субъект – столбец. На пересечении строки и столбца указан вид разрешенного доступа субъекта к определенному объекту.
Доступы бывают следующие:
Количество объектов и видов доступа к ним меняются, согласно определенным правилам, использующимся в конкретной системе. Изменения данных правил также решаются матрицей. Первоначальное состояние системы определяет матрица доступа.
Действия регламентируются и фиксируются в матрице:
На примере предприятия объектами будут:
В роли субъектов доступа к данным выступают:
Инструкция пользователя
Инструкция регламентирует обязанности оператора ИСПДн по обеспечению безопасности обрабатываемой информации. Она включает:
Как происходит обработка личных сведений?
Процесс обработки ПДн в системе должен соответствовать следующим принципам:
Необходимость обеспечения безопасности ИСПДн актуальна. Конфиденциальность личной информации является обязательным требованием для лиц, имеющих доступ к персональным данным. Важно не допускать их распространения, если субъект ПДн не дал на это своего согласия или если отсутствуют на то законные основания.