Структура защиты персональных данных. Защита персональных данных в Российской Федерации: Проблемы и перспективы. Классификация специальных испдн

Содержание
  1. Создание системы защиты персональных данных
  2. Модель угроз безопасности ПДн: пример
  3. Определение уровня защищенности ПДн
  4. Построение системы защиты персональных данных
  5. Выводы
  6. Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности
  7. Раскладываем по полочкам: что такое ИСПДн и как защищать персональные данные | Блог Mail.Ru Cloud Solutions
  8. Что такое ИСПДн: раскладываем по полочкам
  9. Какие бывают виды ИСПДн
  10. Уровни защищенности персональных данных и классы защищенности ИСПДн
  11. Классы защиты персональных данных | Уровни защищенности персональных данных
  12. Категории ИСПДн
  13. Уровни защищенности ИСПДн
  14. Требования к защите личных данных для существующих уровней защищенности
  15. Персональные данные: классификация ИСПДн
  16. Исходные данные и вспомогательная информация
  17. Характеристики безопасности персональных данных
  18. Режим обработки
  19. Режим разграничения прав доступа
  20. Классификация информационной системы

Создание системы защиты персональных данных

Структура защиты персональных данных. Защита персональных данных в Российской Федерации: Проблемы и перспективы. Классификация специальных испдн

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Узнать больше

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал,  «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.

2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации.

Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Источник: https://kontur.ru/articles/1723

Раскладываем по полочкам: что такое ИСПДн и как защищать персональные данные | Блог Mail.Ru Cloud Solutions

Структура защиты персональных данных. Защита персональных данных в Российской Федерации: Проблемы и перспективы. Классификация специальных испдн

Если вы храните персональные данные, то обязаны их защищать. Для защиты нужно знать, насколько система, в которой они хранятся, подвержена угрозам. Чтобы это понять, надо определить, к какому виду и классу относится она и сами данные. Разберем, что такое ИСПДн и что полезно знать про такие системы, если вы работаете с персональными данными.

Что такое ИСПДн: раскладываем по полочкам

ИСПДн — это информационная система персональных данных. Она включает в себя сами персональные данные и средства, которые используют для их обработки и защиты.

Например, у вас интернет-магазин и вы собираете в базу персональные данные клиентов. В таком случае вы оператор персональных данных, а к вашей ИСПДн относят:

  1. Сами персональные данные: имена, фамилии, почтовые адреса, номера телефонов, а также другую информацию, которую вы можете спрашивать у клиентов, чтобы предлагать им определенные товары и скидки, например, дату рождения или данные о семейном положении и наличии детей.
  2. Базы данных, в которых эти данные записаны.
  3. Серверы, то есть физическое оборудование, на котором хранятся базы.
  4. Программы, где данные обрабатываются, например CRM менеджеров.
  5. Компьютеры, на которых сотрудники работают с персональными данными.
  6. Защитные программы: антивирусы, межсетевые экраны и другое подобное ПО.

ИСПДн делят на виды и классы, в зависимости от разных параметров. При этом сами данные — обязательная часть системы. Поэтому когда мы говорим о видах и классах ИСПДн, мы можем говорить о видах и классах самих персональных данных.

Какие бывают виды ИСПДн

Согласно документу ФСТЭК об определении угроз, ИСПДн делят на несколько групп по разными критериям. У каждой группы есть базовая защищенность, которую нужно знать, чтобы определить общий уровень защищенности системы.

Общий уровень защищенности считается так:

  1. Если у 70% критериев системы высокий уровень защищенности, а у остальных — средний, то уровень защищенности всей ИСПДн высокий.
  2. Если у 70% критериев системы высокий или средний уровень защищенности, а у остальных низкий — уровень защищенности всей системы средний.
  3. В остальных случаях уровень защищенности системы низкий.

Ниже расскажем, на какие группы ИСПДн делят, а также как оценить общий уровень защищенности системы с учетом базовой защищенности групп, к которым ее относят.

Группы ИСПДн по территориальному размещению:

  1. Распределенные, которые находятся в разных регионах и городах России. Например, ИСПДн облачного провайдера распределенная, так как серверы и клиенты находятся по всей стране.
  2. Городские, все части которых находятся в пределах одного города.
  3. Корпоративные распределенные, все части которой принадлежат одной компании. Они могут находиться как в одном, так и в нескольких городах. Например, если у компании много филиалов по всей стране, ее ИСПДн считается корпоративной распределенной.
  4. Кампусные, все части которых находятся в пределах близко расположенных зданий. Так, ИСПДн завода будет кампусной.
  5. Локальные, все части которых находятся в одном здании. Обычно это ИСПДн небольших локальных фирм.
Тип системыУровень защищенности
РаспределеннаяНизкий
ГородскаяНизкий
Корпоративная распределеннаяСредний
КампуснаяСредний
ЛокальнаяВысокий

Низкий уровень защищенности по какому-либо параметру не означает, что система всегда будет уязвима и данные в ней хранить опасно — это всего лишь накладывает на владельца системы дополнительные обязанности по защите данных.

Группы ИСПДн по наличию выхода в интернет:

  1. Многоточечный выход в сеть, когда выход в интернет есть у нескольких компьютеров и серверов.
  2. Одноточечный выход в интернет, когда все компьютеры и серверы выходят в интернет через один общий шлюз.
  3. Выхода в интернет нет, например, если на заводе построена закрытая сеть.
Тип системыУровень защищенности
С многоточечным выходом в интернетНизкий
С одноточечным выходом в интернетСредний
Без выхода в интернетВысокий

Группы ИСПДн по доступным операциям с данными:

  1. Разрешены только чтение и поиск — база сформирована, дополнять и изменять ее нельзя.
  2. Дополнительно разрешена запись данных, их удаление и сортировка.
  3. Дополнительно разрешена модификация и передача данных — так работают практически все системы.
Тип системыУровень защищенности
Модификация и передача данныхНизкий
Запись, удаление и сортировка данныхСредний
Только чтение и поискВысокий

Группы ИСПДн по разграничению доступа к персональным данным:

  1. Доступ к персональным данным есть только у их субъекта и у отдельных сотрудников оператора персональных данных.
  2. Доступ к персональным данным есть у всех сотрудников оператора.
Тип системыУровень защищенности
Доступ есть у всех сотрудников оператораНизкий
Доступ есть у некоторых сотрудников оператораСредний

Формально может существовать система, в которой доступ к персональным данным есть у любого постороннего человека. Но это запрещено законом — персональные данные не должны находиться в открытом доступе.

Группы ИСПДн по уровню обезличивания данных:

  1. Пользователи ИСПДн получают только обезличенные данные, их нельзя связать с конкретным человеком. При этом в самой системе данные хранятся в необезличенном виде, поэтому остаются персональными.
  2. Данные обезличивают при передаче в другие организации, но сотрудники внутри организации могут получить их необезличенными.
  3. Данные не обезличивают даже для передачи.
Тип системыУровень защищенности
Данные не обезличивают даже для передачиНизкий
Данные обезличивают при передаче, но сотрудники оператора могут получить их необезличеннымиСредний
Система выдает только обезличенные данныеВысокий

Группы ИСПДн по объему предоставления базы данных другим компаниям:

  1. По запросу оператор предоставляет другой компании полный доступ к базе персональных данных.
  2. По запросу оператор выдает доступ только к части данных, например, к информации об отдельных пользователях.
  3. Оператор не предоставляет никакой информации, хранит базу только для себя и не передает ее третьим лицам.
Тип системыУровень защищенности
По запросу оператор предоставляет полный доступ к даннымНизкий
По запросу оператор выдает доступ только к части данныхСредний
Оператор не передает никакие данные, хранит базу только для себяВысокий

Предположим, у вашей компании филиалы в разных городах, доступ к интернету многоточечный, доступ к данным разрешен только некоторым сотрудникам, разрешены только чтение и поиск данных, система выдает обезличенные данные и компания хранит данные только для себя. Получается, что по одному критерию у вас низкий уровень защищенности, по двум средний, а по остальным трем — высокий. И у вашей ИСПДн будет средний общий уровень защищенности.

Когда общий уровень защищенности подсчитан, его используют для оценки угроз, актуальных для ИСПДн. Это нужно сделать, чтобы понять, как защищать персональные данные.

Оценка угроз — сложная процедура со множеством технических тонкостей, которая подробно описана в двух документах ФСТЭК: «Методике определения актуальных угроз» и «Базовой модели угроз безопасности». Оценку проводит IT-специалист компании: штатный или на аутсорсе.

Но мало знать уровень защищенности ИСПДн и актуальные угрозы — конкретные технические требования к защите системы зависят еще и от уровня защищенности персональных данных.

Уровни защищенности персональных данных и классы защищенности ИСПДн

До 11 марта 2013 года все, кто работал с персональными данными, обязаны были провести классификацию своей ИСПДн. Для этого нужно было собрать специальную комиссию и тщательно проанализировать систему. Теперь приказ, который обязывал это делать, отменен. Соответственно, классификация ИСПДн по защищенности тоже больше не действует.

Зато теперь уровни защищенности появились у персональных данных. Всего их четыре — чем выше уровень, тем более серьезная защита нужна данным. Уровни защищенности описаны в 1119 постановлении Правительства, меры защиты — в 21 приказе ФСТЭК.

Как определить уровень защищенности персональных данных в зависимости от того, какие данные вы храните и какие угрозы актуальны для вашей ИСПДн

Мы подробно разбирали уровни защищенности, категории персональных данных и типы актуальных угроз в статье о защите персональных данных в облаке.

Если вам нужно хранить данные третьего уровня защищенности и выше, необходимо провести аттестацию ИСПДн во ФСТЭК.

В ходе аттестации ФСТЭК проверяет вашу систему: смотрит, правильно ли вы оценили угрозы, используете ли подходящие технические средства защиты, обеспечили ли достаточную безопасность персональным данным.

По итогам проверки выдается аттестат, который подтверждает, что ваша ИСПДн достаточно надежна.

Если вам нужно пройти аттестацию, эксперты Mail.Ru Cloud Solutions могут с этим помочь. Мы подскажем, как привести свою ИСПДн в соответствие с требованиями ФСТЭК, правильно заполнить все документы и пройти проверку.

Зарегистрируйтесь на платформе MCS и храните данные в соответствии с законодательством

Используйте облачную инфраструктуру, аттестованную по 152-ФЗ

  • Мы берем на себя ответственность за выполнение требований 152-ФЗ
  • Вы получаете отдельное защищенное и сертифицированное облако для размещения ИСПДн

Все возможности защищенной платформы

  1. ИСПДн — это информационные системы персональных данных. В ИСПДн входят как сами персональные данные, так и ПО для их обработки и защиты.
  2. ИСПДн делят на группы по нескольким критериям: территориальному, наличию выхода в интернет и другим.
  3. У разных групп разная базовая защищенность — она нужна, чтобы определить актуальные для системы угрозы и понять, как именно защищать персональные данные.
  4. Классы защищенности ИСПДн упразднены с 2013 года. Теперь есть уровни защищенности самих персональных данных — они зависят от типа данных и актуальных угроз.

Читать по теме:

Источник: https://mcs.mail.ru/blog/chto-takoe-informacionnye-sistemy-personalnyh-dannyh

Классы защиты персональных данных | Уровни защищенности персональных данных

Структура защиты персональных данных. Защита персональных данных в Российской Федерации: Проблемы и перспективы. Классификация специальных испдн

Параметры защиты персональных данных (ПД) – это некоторая совокупность определенных условий по соблюдению требований правовых норм, позволяющая эффективно защитить информационные системы, содержащие, перерабатывающие и использующие эту информацию, от несанкционированного доступа.

Категории ИСПДн

К основным данным персонального характера относятся ФИО, дата рождения, адрес проживания, имущественное состояние, наличие образования, принадлежность к какой-либо профессии. Операторами этих и многих других данных являются госорганы, муниципальные органы, физические и юридические лица, обрабатывающие ПД.

Субъектами ПД являются физические лица. Оператор обязан создать необходимые условия по защите этой информации в соответствии с нормами законодательства РФ.

Постановлением № 1119 от 1 декабря 2012 г. вместо применяемых в России ранее классов информационных систем персональных данных (ИСПДн) применяются уровни защищенности ПД. Этот документ определяет конкретные требования к защите ПД при работе с ними в информсистемах и к уровням их защищенности.

Уровень защищенности зависит от:

  • категорий данных;
  • актуальных угроз;
  • числа людей, обработка ПД которых осуществляется;
  • контингента граждан – субъектов этих данных.

Информсистемы ПД делятся на четыре категории:

  1. Биометрические содержат информацию о биологии и физиологии субъекта, с помощью которой становится возможной идентификация его персоны.
  2. Специальные включают в себя расовую и национальную принадлежность, политические предпочтения, религиозные или философские верования и убеждения, информацию о состоянии физического и психического здоровья, сексуальном выборе и жизни.
  3. К общедоступным отнесены сведения об основных персональных данных, являющихся достоянием широких масс благодаря легкодоступным источникам, в которых они хранятся и обрабатываются.
  4. Иные ИСПДн используют данные, отсутствующие в предыдущих группах.

Объемы обрабатываемых личных данных в ИСПДн делятся на две группы: до 100 000 человек и более 100 000.

По форме взаимодействия между оператором и субъектами работа с ПД делится на два вида:

  • работа с ПД сотрудников;
  • работа с ПД других людей.

К числу актуальных угроз безопасности ПД можно отнести намеренный или случайный несанкционированный доступ, в результате чего данные могут быть уничтоженными, сфальсифицированными, измененными, блокированными, скопированными, распространенными средствами массовой информации и т. п.

Возможность устанавливать типы существующих актуальных угроз предоставляется самому оператору с привлечением специалистов по информационной безопасности.

К актуальным типам угроз относят:

  • недокументированные возможности системного программного обеспечения ИСПДн, которые позволяют осуществлять несанкционированный вход;
  • недокументированные возможности прикладного ПО;
  • другие угрозы.

Уровни защищенности ИСПДн

Всего существует четыре уровня защищенности (УЗ) ПД.

УЗ-1 устанавливается:

  • если существуют угрозы I типа и информсистема работает со специальными, биометрическими или иными категориями ПД;
  • если существуют угрозы II типа и информсистема работает со специальными категориями ПД свыше 100 тысяч граждан.

УЗ-2 устанавливается при угрозах типов:

  • I и работе с общедоступными личными данными;
  • II и работе с личными данными служащих оператора или при работе со специальной категорией ниже 100 тысяч человек;
  • II и работе с использованием биометрических личных данных;
  • II и обработке общедоступных личных данных при количестве от 100 тысяч человек (без персонала оператора); 
  • II и работе с другими видами ПД с количеством от 100 тысяч человек (без учета работников оператора); 
  • III и работе со специальной категорией более чем 100 тысяч человек (не считая персонала оператора). 

УЗ-3 устанавливается при наличии угроз следующих типов:

  • II, включая работу с ПД общедоступного характера с количеством людей до 100 тысяч человек;
  • II с работой с другими категориями до 100 тысяч человек;
  • III с обработкой специальных категорий до 100 тысяч человек;
  • III с использованием биометрических ПД;
  • III с работой с другими категориями, превышающими 100 тысяч человек (кроме персонала оператора).

УЗ-4 устанавливается при угрозах:

  • III типа и работе с общедоступной информацией;
  • III типа и обработке других категорий меньше 100 тысяч человек.

Требования к защите личных данных для существующих уровней защищенности

ТребованияУровни защищенности
1234
Запрет присутствия посторонних личностей в местах обработки ПД++++
Сохранность носителей данных++++
Составление руководством списка работников, которые имеют свободный доступ к личным данным++++
Использование сертифицированных, согласно законодательству, устройств защиты данных++++
Назначение ответственного сотрудника за надлежащее обеспечение защиты ПД+++
Ограничение доступности электронного журнала сообщений++
Если служебные полномочия сотрудника изменяются, то делается автоматическая запись в электронный журнал безопасности+
В составе учреждения, обрабатывающего ПД, должен быть отдел, занимающийся вопросами безопасности +

Если уровень защищенности ПД уже установлен, становится возможным подбор подходящих мер организационного и технического характера обеспечения безопасности ПД в соответствии с приказом № 21 от 18.02.2013 ФСТЭК РФ.

Требования приводятся в исполнение самим оператором, или к этой работе привлекаются по договорам юридические или физические лица, имеющие лицензию на технические способы защиты конфиденциальной информации. Оператор ИСПДн определяет уровень защищенности ПД и оформляет соответствующий акт.

Проверка выполнения предусмотренных норм безопасности должна осуществляться не реже одного раза в три года.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/klassy-zashchity-personalnyh-dannyh/

Персональные данные: классификация ИСПДн

Структура защиты персональных данных. Защита персональных данных в Российской Федерации: Проблемы и перспективы. Классификация специальных испдн

Одним из первоочередных мероприятий, которое требуется осуществить при создании информационной системы обработки персональных данных (ИСПДн) является классификация ИСПДн.

Это необходимо для того, чтобы определить класс системы и соответствующие требования, предъявляемые ФСТЭК и ФСБ при обработке персональных данных (ПДн). В этой статья я опишу общую процедуру проведения классификации ИСПДн.

В соответствии с Приказом ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20 о «Порядке проведения классификации информационной системы персональных данных», который можно скачать здесь, требуется проведение классификации включает в себя следующие этапы:

  • Сбор и анализ исходных данных по информационной системе;
  • Присвоение информационной системе соответствующего класса и его документальное оформление.

При проведении классификации информационной системы необходимо ответить на следующие вопросы:

  1. 1К какой категории принадлежат персональные данные обрабатываемые в информационной системе – Xпд?
  2. Какой объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – Xнпд?
  3. Какие заданы характеристики безопасности персональных данных, обрабатываемых в информационной системе?
  4. Какая структура информационной системы?
  5. Имеется ли подключение информационной системы к сетям связи общего пользования и/или сети Internet?
  6. Какой режим обработки персональных данных?
  7. Какой режим разграничения прав доступа пользователей информационной системы?
  8. Местонахождение технических средств информационной системы?

Исходные данные и вспомогательная информация

Определяются следующие категории обрабатываемых в информационной системе персональных данных (Xпд):

  1. категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  2. категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  3. категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
  4. категория 4 — обезличенные и (или) общедоступные персональные данные.

Xнпд может принимать следующие значения:

  • 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
  • 2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
  • 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Характеристики безопасности персональных данных

Для ИСПДн определяют характеристики безопасности персональных данных, которые делятся на основные и дополнительные:

ОСНОВНЫЕ:

  • конфиденциальность
  • целостность
  • доступность

ДОПОЛНИТЕЛЬНЫЕ:

  • неотказуемость
  • учетность (подконтрольность)
  • аутентичность (достоверность)
  • адекватность

Структура информационной системы подразделяется на:

  • автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
  • комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
  • комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

Режим обработки

При организации ИСПДн определяют следующие режимы обработки:

  • однопользовательский;
  • многопользовательский.

Режим разграничения прав доступа

В ИСПДн система разграничения доступа подразумевается:

  • без разграничения прав доступа;
  • с разграничением прав доступа.

Информационные системы делятся на типовую и специальную.
К типовой информационной системе относятся системы, которые требуют только конфиденциальность ПДн.

К специальной информационной системе относятся системы, которые помимо конфиденциальности требуют:

  • Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
  • Информационные системы, в которых на основании исключительно автоматизированной обработки персональных данных предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Классификация информационной системы

Согласно Приказа ФСТЭК/ФСБ/Мининформсвязи № 55/86/20, ИСПДн может принимать один из четырех классов, определенных в данном приказе:

  1. класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
  2. класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
  3. класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
  4. класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

В соответствии с данными определениями классов, для удобства классификации, построена следующая таблица:

Источник: http://zetblog.ru/personalnye-dannye-klassifikatsiya-ispdn.html

Умный водитель
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: