Для начала, выясним, что же такое ИСПДн. Итак, ИСПДн — это сокращенное название Информационной Системы Персональных Данных, представляет собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Таким образом ИСПДн — это и персональные данные, и технические средства, и программное обеспечение для их хранения и обработки.
Важным этапом (и одним из первых шагов) в построении системы защиты ИСПДн является правильное её категорирование, то есть соотнесения типа информационной системы персональных данных (ИСПДн) к тому или иному уровню защищенности.
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных (Постановление Правительства 1119), причем эти уровни определяются факторами:
- тип ИСПДн;
- тип актуальных угроз;
- количество субъектов;
- форма отношений (сотрудники оператора или нет);
Тип ИСПДн
1 группа (ИСПДН-С)— специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;
2 группа (ИСПДн-Б) — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;
3 группа (ИСПДн-О) — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа (ИСПДн-И) — иные категории ПДн, не представленные в трех предыдущих группах.
Тип актуальных угроз (определяется методом экспертной оценки)
- угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
- угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
- угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.
По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
- обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
- обработка персональных данных субъектов, не являющихся работниками вашей организации.
По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:
- менее 100 000 субъектов;
- более 100 000 субъектов;
Таким образом, определить уровень защищенности (или иными словами присвоить класс защищенности) можно из таблицы:
Категория ПДн + кол-во | АУ 1 типа | АУ 2 типа | АУ 3 типа |
ИСПДн-С более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора | К-1 | К-1 | К-2 |
ИСПДн-С сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора | К-1 | К-2 | К-З |
ИСПДн-Б | К-1 | К-2 | К-З |
ИСПДн-И более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора | К-1 | К-2 | К-З |
ИСПДн-И данных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора | К-1 | К-З | К-4 |
ИСПДн-О более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора | К-2 | К-2 | К-4 |
ИСПДн-О сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора | К-2 | К-З | К-4 |
Классы защищенности ИСПДн:
- класс защищенности (К-4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
- класс защищенности (К-З) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
- класс защищенности (К-2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
- класс защищенности (К-1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.
Определить класс защищенности Вашей ИСПДн поможет наша программа Документы 152-ФЗ.