Что означает сокращение испдн

Персональные данные (Классификация ИСПДн)

Как же классифицировать специальную ИСПДн?

Если в Вашей ИСПДн содержатся персональные данные, касающиеся расовой, национальной принадлежности,
политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, то тут все просто:
класс вашей системы К1. И не важно, 10 это записей или 100 000. Далее Вы или защищаете систему по К1 в соответствии с требованиями приказа ФСТЭК №58, или понижаете класс, ну например, путем обезличивания таких данных.
Теперь представим себе некую ИСПДн, которую нам необходимо классифицировать. Пусть это будет большое предприятие, которое оказывает услуги своим Клиентам.
Исходные данные нашей системы:
1. Объем персональных данных — более 100 000.
2. Категория персональных данных — 2( т.е. это персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию).
3. Структура информационной системы — распределенная;
4. Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена — есть;
5. Режим обработки персональных данных — многопользовательский;
6. Режим разграничения прав доступа пользователей информационной системы — с разграничением прав доступа;
7. Местонахождение технических средств информационной системы — в пределах Российской Федерации.

Но классифицировать такую систему по табличке из приказа № 55\86\20 мы не можем, т.к. «По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов». Не расстраиваемся, читаем приказ дальше и видим такой пункт:
16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем придти к обоснованному выводу, что негативные последствия может нанести нарушение конфиденциальности сведений (например распространение сведений об ивалидности сотрудника). Реализация всех остальных угроз приведут к незначительным негативным последствиям, потому как приняты (или будут приняты в дальнейшем в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно классифицирована нами как К2.

Источник

ИСПДн

информационная система персональных данных

также: ispdn. ru — сайт о защите персональных данных

Смотреть что такое «ИСПДн» в других словарях:

ИСПД — ИСПДн ИСПД информационная система персональных данных также: ispdn. ru сайт о защите персональных данных http://www.ispdn.ru/​ сетевое … Словарь сокращений и аббревиатур

Защита персональных данных — комплекс мероприятий технического, организационного и организационно технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных… … Википедия

Оператор персональных данных — (согласно закону РФ «О персональных данных») государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки… … Википедия

Автоматизированная банковская система — У этого термина существуют и другие значения, см. АБС. Автоматизированная банковская система (АБС) комплекс программного и технического обеспечения, направленный на автоматизацию банковской деятельности. Содержание 1 Особенности 2 История… … Википедия

Прикладные программы специальные — Специальные прикладные программы это программы, которые разрабатываются в интересах решения конкретных прикладных задач в данной ИСПДн (в том числе программные средства защиты информации, разработанные для конкретной ИСПДн). Источник: Базовая… … Официальная терминология

Федеральный закон «О персональных данных» — Номер: 152 ФЗ Принятие: Государственной думой 26 июля 2006 года Вступление в силу: 26 января 2007 г. Федеральный закон РФ от 27 июля 2006 года № 152 ФЗ «О персональных данных» федеральный закон, регулирующий деятельность по обработке (использ … Википедия

СТО БР ИББС — Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций… … Википедия

Источник

Типы и классификация ИСПДн

Содержание данной статьи проверено и подтверждено:

Кобец Дмитрий Андреевич

ИСПДн – это информационная система персональных данных.

Она представляет собой систему из набора персональных данных (далее – ПДн), который располагается в базе данных (далее – БД), а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Она может производиться с использованием средств вычислительной техники, либо же без их использования, то есть вручную оператором.

Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора.

ИСПДн на примере

Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной информационной системе будет располагаться БД персональных данных действующих и уволенных сотрудников. В данную систему будут входить все средства, которые способствуют обработке этих данных. Например АРМы, серверы, программное обеспечение, применяемые средства защиты информации.

Классификация и типы ИСПДн

Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению:

Типы ИСПДн

Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы ИС, которые обрабатывают ПДн, относящиеся к следующим категориям:

Актуальные угрозы ИСПДн

После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы:

К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).

К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.

К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.

Уровни защищенности ИСПДн

Существует четыре уровня защищенности.

Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов:

Составим таблицу определения уровня защищенности ИСПДн согласно ПП №1119.

ИСПДн: основные моменты

Чтобы определить, как именно защищать вашу ИС, в которой обрабатываются персональные данные ваших сотрудников или клиентов, необходимо определить уровень защищенности. Для этого нужно знать следующее:

Зная все эти сведения, можно легко установить уровень защищенности вашей ИС. Меры для обеспечения всех вышеприведенных уровней защищенности определены в законодательных документах.

Источник

Что такое ИСПДн — информационные системы персональных данных, и зачем в них стоит разобраться

Если вы храните персональные данные, то обязаны их защищать. Для защиты нужно знать, насколько система, в которой они хранятся, подвержена угрозам. Чтобы это понять, надо определить, к какому виду и классу относится она и сами данные. Разберем, что такое ИСПДн и что полезно знать про такие системы, если вы работаете с персональными данными.

Что такое ИСПДн: раскладываем по полочкам

ИСПДн — это информационная система персональных данных. Она включает в себя сами персональные данные и средства, которые используют для их обработки и защиты.

Например, у вас интернет-магазин и вы собираете в базу персональные данные клиентов. В таком случае вы оператор персональных данных, а к вашей ИСПДн относят:

ИСПДн делят на виды и классы, в зависимости от разных параметров. При этом сами данные — обязательная часть системы. Поэтому когда мы говорим о видах и классах ИСПДн, мы можем говорить о видах и классах самих персональных данных.

Какие бывают виды ИСПДн

Согласно документу ФСТЭК об определении угроз, ИСПДн делят на несколько групп по разными критериям. У каждой группы есть базовая защищенность, которую нужно знать, чтобы определить общий уровень защищенности системы.

Общий уровень защищенности считается так:

Ниже расскажем, на какие группы ИСПДн делят, а также как оценить общий уровень защищенности системы с учетом базовой защищенности групп, к которым ее относят.

Группы ИСПДн по территориальному размещению:

Низкий уровень защищенности по какому-либо параметру не означает, что система всегда будет уязвима и данные в ней хранить опасно — это всего лишь накладывает на владельца системы дополнительные обязанности по защите данных.

Группы ИСПДн по наличию выхода в интернет:

Группы ИСПДн по доступным операциям с данными:

Группы ИСПДн по разграничению доступа к персональным данным:

Формально может существовать система, в которой доступ к персональным данным есть у любого постороннего человека. Но это запрещено законом — персональные данные не должны находиться в открытом доступе.

Группы ИСПДн по уровню обезличивания данных:

Группы ИСПДн по объему предоставления базы данных другим компаниям:

Предположим, у вашей компании филиалы в разных городах, доступ к интернету многоточечный, доступ к данным разрешен только некоторым сотрудникам, разрешены только чтение и поиск данных, система выдает обезличенные данные и компания хранит данные только для себя. Получается, что по одному критерию у вас низкий уровень защищенности, по двум средний, а по остальным трем — высокий. И у вашей ИСПДн будет средний общий уровень защищенности.

Но мало знать уровень защищенности ИСПДн и актуальные угрозы — конкретные технические требования к защите системы зависят еще и от уровня защищенности персональных данных.

Уровни защищенности персональных данных и классы защищенности ИСПДн

До 11 марта 2013 года все, кто работал с персональными данными, обязаны были провести классификацию своей ИСПДн. Для этого нужно было собрать специальную комиссию и тщательно проанализировать систему. Теперь приказ, который обязывал это делать, отменен. Соответственно, классификация ИСПДн по защищенности тоже больше не действует.

Зато теперь уровни защищенности появились у персональных данных. Всего их четыре — чем выше уровень, тем более серьезная защита нужна данным. Уровни защищенности описаны в 1119 постановлении Правительства, меры защиты — в 21 приказе ФСТЭК.

Как определить уровень защищенности персональных данных в зависимости от того, какие данные вы храните и какие угрозы актуальны для вашей ИСПДн

Мы подробно разбирали уровни защищенности, категории персональных данных и типы актуальных угроз в статье о защите персональных данных в облаке.

Если вам нужно хранить данные третьего уровня защищенности и выше, необходимо провести аттестацию ИСПДн во ФСТЭК. В ходе аттестации ФСТЭК проверяет вашу систему: смотрит, правильно ли вы оценили угрозы, используете ли подходящие технические средства защиты, обеспечили ли достаточную безопасность персональным данным. По итогам проверки выдается аттестат, который подтверждает, что ваша ИСПДн достаточно надежна.

Источник

Открываем занавес неизвестного – что это такое информационные системы персональных данных и как с ними работать?

Информационными системами персональных данных (ИСПДн) в своей деятельности пользуются многие компании и организации, как государственные, так и муниципальные.

Что такое государственные и частные ИСПДн, особенности частных и государственных ИСПДн, узнаем определения и рассмотрим особенности данных систем, а также основные процессы работы с ними.
Расскажем инструкция регламентирует какие обязанности оператора ИСПДн регламентирует инструкция по обеспечению безопасности обрабатываемой информации.

Что это такое государственные и частные ИСПДн?

Информационная система ПДн предназначена для хранения и обработки личной информации. Она состоит из:

Особенности частных

Для большинства крупных частных предприятий и компаний, которые работают в России, неотъемлемыми стали программы бухучета, занимающиеся обработкой данных о:

В зависимости от характера деятельности в разных фирмах и на производстве появляются специфические системы, которые обрабатывают ПДн:

Все перечисленные системы обслуживают бизнес-процессы.

Государственные

Российское законодательство в области ПДн основано на Конституции РФ и международных договорах России и состоит из действующего ФЗ-152 «О персональных данных» и прочих законов, определяющих случаи и тонкости обработки персональной информации.

Согласно федеральным законам, государственные органы имеют полномочия на принятие нормативных актов по определенным вопросам относительно обработки ПДн.Данные акты не могут нести в себе положения, которые ограничивают права субъектов личных данных. Указанные проекты официально публикуются. Исключение составляют акты или конкретные их положения, содержащие информацию, доступ к которой ограничивается законом.

Обработка ПДн

Процесс обработки ПДн – это изменение, добавление, хранение, удаление, анализ или распространение персональной информации. У каждой ИСПДн обязательно должна быть конкретная цель обработки. Она и служит главным критерием при выделении категории ИСПДн.

Обработкой данных занимается оператор – это государственный, частный орган, физическое или юридическое лицо, работающее с персональной информацией. Оператор определяет цели и характер обработки ПДн.

Сотрудник следит за работой средств, защищающих информацию, регулярно проводит антивирусные проверки, консультирует сотрудников по теме безопасности личных данных.

Кроме того, каждая ИСПДн должна иметь разработанную «Частную модель актуальных угроз». Данный документ выделяет среди всех потенциальных угроз безопасности информации те, которые представляют реальную опасность. Модель строится на основании оценок экспертов.

Аттестация

Аттестация ИСПДн обязательна только для государственных систем персональных данных. Операторы обязаны их защищать в соответствии с Правилами защиты сведений, не являющихся государственной тайной, которые содержатся в государственных ИСПДн. Правила утверждены Приказом ФСТЭК РФ №17 от 2013 года.

Для негосударственных информационных систем аттестат соответствия нормам безопасности может пригодиться в том случае, когда необходимо доказывать требуемую степень защиты ИСПДн. Для частных систем аттестация проводится добровольно. Для этого могут использоваться Специальные рекомендации и требования по защите конфиденциальных данных (СТР-К). Доступ к указанному документу ограничен. Его можно получить исключительно в управлении ФСТЭК.

Процедура аттестации проводится компанией, обладающей лицензией на ведение дел по технической защите информационных ресурсов. Для этого создается аттестационная комиссия, включающая экспертов в сфере информационной безопасности. Задача команды – оценить соответствие технических и организационных мероприятий, испытать программные средства защиты ПДн.

Для частных компаний может быть достаточно получения декларации соответствия. Документ составляет оператор, привлекая специалистов в сфере защиты ПДн.

Матрица доступа

Особенности избирательного управления доступом описываются моделью системы на основе матрицы доступа (МД). Также она называется матрицей контроля доступа. МД – это прямоугольная матрица, в рамках которой объект системы – это строка, а субъект – столбец. На пересечении строки и столбца указан вид разрешенного доступа субъекта к определенному объекту.

Доступы бывают следующие:

Количество объектов и видов доступа к ним меняются, согласно определенным правилам, использующимся в конкретной системе. Изменения данных правил также решаются матрицей. Первоначальное состояние системы определяет матрица доступа.

Действия регламентируются и фиксируются в матрице:

На примере предприятия объектами будут:

В роли субъектов доступа к данным выступают:

Инструкция пользователя

Инструкция регламентирует обязанности оператора ИСПДн по обеспечению безопасности обрабатываемой информации. Она включает:

Как происходит обработка личных сведений?

Процесс обработки ПДн в системе должен соответствовать следующим принципам:

Необходимость обеспечения безопасности ИСПДн актуальна. Конфиденциальность личной информации является обязательным требованием для лиц, имеющих доступ к персональным данным. Важно не допускать их распространения, если субъект ПДн не дал на это своего согласия или если отсутствуют на то законные основания.

Источник