Уровень защищенности информационной системы персональных данных

Предлагаем ознакомиться с тематической статьей, в которой полностью освящен вопрос: уровень защищенности информационной системы персональных данных. Если после прочтения останутся дополнительные вопросы или уточнения, то обратитесь к дежурному юристу.

Уровень защищенности информационной системы персональных данных

Практическая защита
персональных данных

Определение уровня защищенности ИСПДн

1 ноября утверждено постановление правительства №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

В соответствии с постановлением, требования по защите персональных данных в ИСПДн зависят от уровня защищенности ИСПДн.

Для определения уровня защищенности необходимо выделить ряд параметров ИСПДн, описанных ниже.

Все ИСПДн по категориям обрабатываемых данных делятся на:

— обрабатывающие специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни)
— обрабатывающие биометрические категории персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта)
— обрабатывающие иные персональных данных.

Кроме того отдельно выделяют системы, обрабатывающие общедоступные персональные данные (данные субъектов персональных данных, полученные только из общедоступных источников).

Также отдельно выделены информационные системы, обрабатывающие персональные данные только сотрудников оператора.

В постановлении приведены три типа актуальных угроз.

1 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (операционная система)
2 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (программы обработки ПДн)
3 тип. Угрозы, не связанные с наличием недокументированных (недекларированных) возможностей

При этом в документе не дается указаний на способы выявления недекларированных возможностей программного обеспечения. Это привело к наличию различных точек зрения на этот вопрос.

Мы рекомендуем Вам руководствоваться следующим правилом: если программное обеспечение лицензионное, выпущено серийно и имеет широкое распространение, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют. В противном случае есть высокая вероятность наличия недокументированных функций, способных нанести вред.

На основании указанных выше критериев определяется уровень защищенности ИСПДн. Для этого рекомендуем Вам воспользоваться формой приведенной ниже

Определение уровня защищенности

© 2011-2019 «Практическая защита персональных данных»

Источник: http://pdsec.ru/uroven_zaschischennosti/

Уровень защищенности информационной системы персональных данных

Практическая защита
персональных данных

3 уровень защищенности

— организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
— обеспечение сохранности носителей персональных данных
— утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
— использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

— назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе

Условное обозначение и номер меры

Содержание мер по обеспечению безопасности персональных данных

I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

Идентификация и аутентификация пользователей, являющихся работниками оператора

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

Защита обратной связи при вводе аутентификационной информации

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

II. Управление доступом субъектов доступа к объектам доступа (УПД)

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

Регламентация и контроль использования в информационной системе технологий беспроводного доступа

Регламентация и контроль использования в информационной системе мобильных технических средств

Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

IV. Защита машинных носителей персональных данных (ЗНИ)

Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

V. Регистрация событий безопасности (РСБ)

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

Читайте так же:  Пропущен срок исковой давности по взысканию долга

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

Защита информации о событиях безопасности

VI. Антивирусная защита (АВЗ)

Реализация антивирусной защиты

Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

Контроль состава технических средств, программного обеспечения и средств защиты информации

XI. Защита среды виртуализации (ЗСВ)

Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

Регистрация событий безопасности в виртуальной инфраструктуре

Реализация и управление антивирусной защитой в виртуальной инфраструктуре

Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей

XII. Защита технических средств (ЗТС)

Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

Защита беспроводных соединений, применяемых в информационной системе

XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных

Управление изменениями конфигурации информационной системы и системы защиты персональных данных

Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных

Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных

© 2011-2019 «Практическая защита персональных данных»

Источник: http://pdsec.ru/3_uroven

Уровни защищенности персональных данных вместо классов

Постановление Правительства РФ №1119 от 01.11.2012 г. похоронило уже ставшими всем привычными классы информационных систем персональных данных.

В место классов, согласно новому постановлению, устанавливаются четыре уровня защищённости персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищённости производится в зависимости от типа персональных данных, который обрабатывает информационная система, типа актуальных угроз, количества обрабатываемых информационной системой субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.

Информационные системы персональных данных (ИСПДн), согласно 5 пункту Постановления №1119 подразделяются на 4 группы:

    Cпециальные ИСПДн

если в ИСПДн обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

если в ИСПДн обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;

если в ИСПДн обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;

если в ИСПДн обрабатываются персональные данные субъектов персональных данных, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами, обработка подразделяется на 2 вида:

  • обработка персональных данных сотрудников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся сотрудниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, Постановлением №1119 определены только 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

К ак установить тип актуальных угроз не регламентировано. Требования ПП-1119 не предлагают никаких методов и способов их нейтрализации. Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно — придется обращаться в вышестоящую организацию или к консультанту. Проще всего пойти по пути наименьшего сопротивления, т.е. определить тип актуальной угрозы 3 типа, и забыть про недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, но это необходимо будет обосновать. Весь вопрос как?, возвращаясь к началу абзаца.
Тема актуальности угроз информационных систем персональных данных очень важна, ведь от правильно описанных угроз зависит насколько грамотно будет защищена система, а также сколько будет стоить защита для оператора персональных данных.

Читайте так же:  Исковые заявления в суд рассрочки

Е сли Вы определились с исходными данными для конкретной ИСПДн, в том числе типом актуальных угроз, то можете определить её уровень защищенности. Для удобства определения уровня защищенности воспользуйтесь следующей таблицей, которая сделана на основе ПП-1119:

Тип актуальных угроз

Нет > 100 000 УЗ-1 УЗ-1 УЗ-2 Нет 100 000 УЗ-1 УЗ-2 УЗ-3 Нет 100 000 УЗ-2 УЗ-2 УЗ-4 Нет В зависимости от выбранного уровня защищенности ПДн, ПП-1119 определены ряд требований по защите персональных данных, которые организуются и проводятся оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Контроль за выполнением требований должен проводиться не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

О пределившись с требованиями по защите персональных данных в соответствии с ПП-1119, можно переходить к выбору организационных и технических мер по обеспечению безопасности персональных данных, исходя из требований Приказа ФСТЭК России №21 от 18.02.2013г., направленных на нейтрализацию актуальных угроз безопасности персональных данных.

Ч то делать со средствами защиты информации, сетификаты на которые были выданы ранее для определённых классов ИСПДн?

Источник: http://www.rskb48.ru/stati/urovni.html

Уровень защищенности информационной системы персональных данных

Практическая защита
персональных данных

1 уровень защищенности

— организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
— обеспечение сохранности носителей персональных данных
— утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
— использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

— назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе

— доступ к содержанию электронного журнала сообщений должен быть возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей

— автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе
— создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности

Условное обозначение и номер меры

Содержание мер по обеспечению безопасности персональных данных

I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

Идентификация и аутентификация пользователей, являющихся работниками оператора

Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

Защита обратной связи при вводе аутентификационной информации

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

II. Управление доступом субъектов доступа к объектам доступа (УПД)

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

Регламентация и контроль использования в информационной системе технологий беспроводного доступа

Регламентация и контроль использования в информационной системе мобильных технических средств

Видео (кликните для воспроизведения).

Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

Обеспечение доверенной загрузки средств вычислительной техники

III. Ограничение программной среды (ОПС)

Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения

Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов

IV. Защита машинных носителей персональных данных (ЗНИ)

Учет машинных носителей персональных данных

Управление доступом к машинным носителям персональных данных

Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

Читайте так же:  Постановление о праве собственности на землю

V. Регистрация событий безопасности (РСБ)

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

Защита информации о событиях безопасности

VI. Антивирусная защита (АВЗ)

Реализация антивирусной защиты

Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

VII. Обнаружение вторжений (СОВ)

Обновление базы решающих правил

VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

Контроль состава технических средств, программного обеспечения и средств защиты информации

Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе

IХ.Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации

Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)

X. Обеспечение доступности персональных данных (ОДТ)

Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование

Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных

Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала

XI. Защита среды виртуализации (ЗСВ)

Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

Регистрация событий безопасности в виртуальной инфраструктуре

Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

Контроль целостности виртуальной инфраструктуры и ее конфигураций

Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры

Реализация и управление антивирусной защитой в виртуальной инфраструктуре

Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей

XII. Защита технических средств (ЗТС)

Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы

Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов

Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных

Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы

Защита беспроводных соединений, применяемых в информационной системе

XIV. Выявление инцидентов и реагирование на них (ИНЦ)

Определение лиц, ответственных за выявление инцидентов и реагирование на них

Обнаружение, идентификация и регистрация инцидентов

Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами

Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий

Принятие мер по устранению последствий инцидентов

Планирование и принятие мер по предотвращению повторного возникновения инцидентов

XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных

Управление изменениями конфигурации информационной системы и системы защиты персональных данных

Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных

Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных

© 2011-2019 «Практическая защита персональных данных»

Источник: http://pdsec.ru/1_uroven

— Защищайтесь, сударь!

Персональный блог про информационную безопасность

07 августа 2018

ПДн. Шпаргалка по установлению уровней защищенности персональных данных

Установление уровня защищенности ПДн для ИСПДн,
обрабатывающих ПДн НЕ ТОЛЬКО сотрудников Оператора
Читайте так же:  Выезд за границу с долгами проверить служба

Дробные ячейки устанавливают УЗ для количественных значений квалифицирующих признаков: верхняя часть — 100 тыс. и более субъектов ПД, нижняя — менее 100 тыс. субъектов.

Установление уровня защищенности ПДн для ИСПДн,
обрабатывающих ПДн ТОЛЬКО сотрудников Оператора

Напомню также, что:

  • ИСПДн обрабатывает специальные категории ПДн, если в ней обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн.
  • ИСПДн обрабатывает биометрические ПДн, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн, и не обрабатываются сведения, относящиеся к специальным категориям ПДн.
  • ИСПДн обрабатываетобщедоступные ПДн, если в ней обрабатываются ПДн субъектов ПДн, полученные только из общедоступных источников ПДн, созданных в соответствии со статьей 8 Федерального закона №152 «О персональных данных».
  • ИСПДн обрабатывает иные категории ПДн, если в ней не обрабатываются ПДн, указанные в трех предыдущих абзацах.

А все множество информационных систем персональных данных (согласно определений, данных в Постановлении Правительства №1119) можно представить в виде подмножеств как это показано на рисунке:

Разбиение множества информационных систем персональных данных согласно Постановления Правительства №1119

Определение 3 типов угроз можно представить следующим образом:

В зависимости от установленного уровня защищённости ПДн, необходимо принимать следующие меры по защите персональных данных:

Набор мер мер по обеспечению безопасности персональных данных, подлежащих реализации в рамках построения системы защиты персональных данных (СЗПДн) содержатся в Приказе ФСТЭК России от 18 февраля 2013 г. N 21

Источник: http://szazimko.blogspot.com/2018/08/ustanovleniye-UZ-PDn.html

Уровень защищенности информационной системы персональных данных

ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Для соотнесения типа информационной системы персональных данных (ИСПДн) к тому или иному уровню защищенности необходимо:

Объем / Категория

Объем 3
( 100 000,
субъект Федерации)

Источник: http://help.dnevnik.ru/hc/ru/articles/203475238-%D0%A7%D1%82%D0%BE-%D1%82%D0%B0%D0%BA%D0%BE%D0%B5-%D0%98%D0%A1%D0%9F%D0%94%D0%BD-%D0%9A%D0%B0%D0%BA%D0%B8%D0%B5-%D0%BA%D0%BB%D0%B0%D1%81%D1%81%D1%8B-%D0%B7%D0%B0%D1%89%D0%B8%D1%89%D0%B5%D0%BD%D0%BD%D0%BE%D1%81%D1%82%D0%B8-%D0%98%D0%A1%D0%9F%D0%94%D0%BD-%D1%81%D1%83%D1%89%D0%B5%D1%81%D1%82%D0%B2%D1%83%D1%8E%D1%82-

Понятие персональных данных и требования к их обработке и защите, установленные Правительством РФ

Персональные данные (ПДн) – особенная категория информации, к которой предъявляются повышенные требования в процессе обработки и хранения.

Субъектами сведений персонального характера выступают физические лица, несанкционированное распространение таких данных может привести к негативным последствиям. Поэтому профильным законом в России установлены нормативные положения, призванные защитить ПДн.

О том, как по закону операторы должны обращаться с конфиденциальной информацией граждан Российской Федерации на всех этапах обработки мы подробно расскажем в материале.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

Законодательные основы

С момента принятия законодательно акта Государственной Думой, в него вносились многочисленные дополнения и изменения. Одним из последних стало требования – разместить сервисы с информацией, входящей в перечень ПДн, на территории Российской Федерации.

В этом документе очерчены принципы обработки данных, указаны обязанности операторов, а также степень ответственности за несоблюдение закона.

Характер предписаний

К защите

Сведения о требованиях, реализуемых в отношении защиты информации конфиденциального характера, утверждены Правительством РФ в Постановлении кабинета министров РФ от 1 ноября 2012 года N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Все обязанности по защите ПД ложатся на оператора, осуществляющего их сбор и обработку.

  1. Любая система, работающая с персональной информацией, пользуется средствами защиты от актуальных угроз и соответствующими информационными технологиями.
  2. Оператор определяет актуальные угрозы, а также оценивает их потенциальный вред по алгоритму пункта 5 части 1 статьи 18 Федерального закона «О персональных данных». Разработать соответствующую модель угроз и применять ее на практике для защиты информации.
  3. Оператор устанавливает для ПДн уровень защищенности.
  • 1 уровень устанавливается для систем, обрабатывающих специальные категории персональных данных, либо биометрические сведения, а также операторов, работающих с более чем ста тысячам субъектов ПДН (если они не являются сотрудниками).
  • 2 уровень присваивается операторам, обрабатывающим информацию более ста тысяч субъектов (если они являются сотрудниками), общедоступные данные более чем ста тысяч субъектов, биометрические данные менее ста тысяч субъектов.
  • 3 уровень присваивается системам, работающим с информацией, принадлежащей 10 тысячам субъектов, не являющихся сотрудниками оператора.
  • 4 уровень получают системы, работающие с общедоступной информацией ПДн, которая считается обезличенной и не дает возможности идентифицировать человека.

Четвертый уровень безопасности обеспечивается следующими позициями:

  • организация режима доступа к помещениям, в которых размещена информационная система (без возможности случайного проникновения);
  • обеспечение сохранности физических платформ ПДн;
  • утверждение документа с перечнем лиц, которым доступна система.

Третий уровень обусловлен одним дополнительным, по сравнению с 4 уровнем, требованием – назначить должностное лицо, ответственное за безопасность. На втором уровне добавляется обязательное ограничение доступа к каталогу ПДн только для должностных лиц оператора.

А операторы с первым уровнем защищенности должны автоматически вносить в средство электронного учета изменения полномочий сотрудников, имеющих доступ к ПДн, а также создать структурное подразделение (или возложить на существующее), в обязанности которого входит обеспечение безопасности персональных сведений.

Читайте так же:  Как вернуть деньги после отмены судебного приказа

Посмотреть видео о том, как необходимо осуществлять защиту персональных данных:

К обработке в информационных системах

  • Оператор информационных систем работает с данными на основе законодательных актов.
  • В системе обработка ограничивается действиями, необходимыми для реализации конкретных целей, определенных заранее. Несовместимая с целями сбора обработка является нарушением.
  • Объединение баз, которые содержат ПДн, собранные с разными целями, не допускается.
  • Обрабатываются только данные, отвечающие целям обработки.
  • Не допускается избыточности по отношению к заявленным целям обработки.

Примечательно, что к обработке предъявляется обязательное требование – наличие согласия субъекта на обработку персональных данных с информированием о целях такой процедуры.

Для хранения оператор должен утвердить два нормативных документа:

  1. Политика в отношении обработки ПДн.
  2. Соглашение об обработке персональной информации.

Субъект имеет право ознакомиться с уставными бумагами и только после этого давать или не давать согласие на обработку его личной информации.

К хранению

Хранение ПДн осуществляется в форме, дающей возможность вычислить субъекта только в рамках установленных сроков. Кроме того, хранение сведений (в том числе сроки) могут устанавливаться нормативными актами разного уровня.

Персональные данные, согласно новым требованиям Роскомнадзора, предъявляемым к их защите, необходимо хранить только на территории Российской Федерации (физически сервера или ЦОДы должны находиться внутри государства).

К обеспечению безопасности

В статье 19 Федерального закона «О персональных данных» прописаны требования к обеспечению безопасности со стороны оператора. Они включают в себя следующие мероприятия:

  1. Реализовывать меры широкого спектра, в том числе технического и организационного.
  2. Организовывать процедуру оценки соответствия средств защиты.
  3. Оценивать эффективность мер по обеспечению безопасности.
  4. Вести учет машинных носителей конфиденциальных сведений.
  5. Обнаруживать факты несанкционированного доступа , восстанавливать, сведения, если в процессе несанкционированного доступа они были удалены или изменены.
  6. Устанавливать правила доступа к системам с конфиденциальной информацией.

Как видите, законодательство Российской Федерации предъявляет к операциям с ПДн массу требований. Это связано с особенностями сведений и тем фактом, что они должны сохраняться в условиях конфиденциальности.

Среди систем различают системы с разным уровнем защищенности в зависимости от особенностей самых данных.

Неконтролируемое распространение ПДн считается нарушением и может повлечь за собой ущерб для субъекта сведений, которые должны быть конфиденциальными. Требование не учитывается только для обезличенных сведений.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (800) 350-22-67 Это быстро и бесплатно !


Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/trebovniya-k-p-d.html

№ 11. Уровни защищенности персональных данных

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы.

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

Видео (кликните для воспроизведения).

Источник: http://data-sec.ru/personal-data/protection-level/

Уровень защищенности информационной системы персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here