Уровни защиты персональных данных

Предлагаем ознакомиться с тематической статьей, в которой полностью освящен вопрос: уровни защиты персональных данных. Если после прочтения останутся дополнительные вопросы или уточнения, то обратитесь к дежурному юристу.

Уровни защищенности персональных данных вместо классов

Постановление Правительства РФ №1119 от 01.11.2012 г. похоронило уже ставшими всем привычными классы информационных систем персональных данных.

В место классов, согласно новому постановлению, устанавливаются четыре уровня защищённости персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищённости производится в зависимости от типа персональных данных, который обрабатывает информационная система, типа актуальных угроз, количества обрабатываемых информационной системой субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.

Информационные системы персональных данных (ИСПДн), согласно 5 пункту Постановления №1119 подразделяются на 4 группы:

    Cпециальные ИСПДн

если в ИСПДн обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

если в ИСПДн обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;

если в ИСПДн обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;

если в ИСПДн обрабатываются персональные данные субъектов персональных данных, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами, обработка подразделяется на 2 вида:

  • обработка персональных данных сотрудников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся сотрудниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, Постановлением №1119 определены только 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

К ак установить тип актуальных угроз не регламентировано. Требования ПП-1119 не предлагают никаких методов и способов их нейтрализации. Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно — придется обращаться в вышестоящую организацию или к консультанту. Проще всего пойти по пути наименьшего сопротивления, т.е. определить тип актуальной угрозы 3 типа, и забыть про недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, но это необходимо будет обосновать. Весь вопрос как?, возвращаясь к началу абзаца.
Тема актуальности угроз информационных систем персональных данных очень важна, ведь от правильно описанных угроз зависит насколько грамотно будет защищена система, а также сколько будет стоить защита для оператора персональных данных.

Е сли Вы определились с исходными данными для конкретной ИСПДн, в том числе типом актуальных угроз, то можете определить её уровень защищенности. Для удобства определения уровня защищенности воспользуйтесь следующей таблицей, которая сделана на основе ПП-1119:

Тип актуальных угроз

Нет > 100 000 УЗ-1 УЗ-1 УЗ-2 Нет 100 000 УЗ-1 УЗ-2 УЗ-3 Нет 100 000 УЗ-2 УЗ-2 УЗ-4 Нет В зависимости от выбранного уровня защищенности ПДн, ПП-1119 определены ряд требований по защите персональных данных, которые организуются и проводятся оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Контроль за выполнением требований должен проводиться не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

О пределившись с требованиями по защите персональных данных в соответствии с ПП-1119, можно переходить к выбору организационных и технических мер по обеспечению безопасности персональных данных, исходя из требований Приказа ФСТЭК России №21 от 18.02.2013г., направленных на нейтрализацию актуальных угроз безопасности персональных данных.

Ч то делать со средствами защиты информации, сетификаты на которые были выданы ранее для определённых классов ИСПДн?

Источник: http://www.rskb48.ru/stati/urovni.html

Уровни защиты персональных данных

Практическая защита
персональных данных

1 уровень защищенности

— организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
— обеспечение сохранности носителей персональных данных
— утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
— использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

— назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе

Читайте так же:  Проект газификации частного дома образец

— доступ к содержанию электронного журнала сообщений должен быть возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей

— автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе
— создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности

Условное обозначение и номер меры

Содержание мер по обеспечению безопасности персональных данных

I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

Идентификация и аутентификация пользователей, являющихся работниками оператора

Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

Защита обратной связи при вводе аутентификационной информации

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

II. Управление доступом субъектов доступа к объектам доступа (УПД)

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

Регламентация и контроль использования в информационной системе технологий беспроводного доступа

Регламентация и контроль использования в информационной системе мобильных технических средств

Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

Обеспечение доверенной загрузки средств вычислительной техники

III. Ограничение программной среды (ОПС)

Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения

Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов

IV. Защита машинных носителей персональных данных (ЗНИ)

Учет машинных носителей персональных данных

Управление доступом к машинным носителям персональных данных

Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

V. Регистрация событий безопасности (РСБ)

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

Защита информации о событиях безопасности

VI. Антивирусная защита (АВЗ)

Реализация антивирусной защиты

Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

VII. Обнаружение вторжений (СОВ)

Обновление базы решающих правил

VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

Контроль состава технических средств, программного обеспечения и средств защиты информации

Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе

IХ.Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации

Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)

X. Обеспечение доступности персональных данных (ОДТ)

Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование

Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных

Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала

XI. Защита среды виртуализации (ЗСВ)

Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

Регистрация событий безопасности в виртуальной инфраструктуре

Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

Контроль целостности виртуальной инфраструктуры и ее конфигураций

Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры

Реализация и управление антивирусной защитой в виртуальной инфраструктуре

Читайте так же:  Судебные издержки в исполнительном производстве

Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей

XII. Защита технических средств (ЗТС)

Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы

Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов

Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных

Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы

Защита беспроводных соединений, применяемых в информационной системе

XIV. Выявление инцидентов и реагирование на них (ИНЦ)

Определение лиц, ответственных за выявление инцидентов и реагирование на них

Видео (кликните для воспроизведения).

Обнаружение, идентификация и регистрация инцидентов

Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами

Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий

Принятие мер по устранению последствий инцидентов

Планирование и принятие мер по предотвращению повторного возникновения инцидентов

XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных

Управление изменениями конфигурации информационной системы и системы защиты персональных данных

Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных

Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных

© 2011-2019 «Практическая защита персональных данных»

Источник: http://pdsec.ru/1_uroven

Постановление Правительства РФ

от 1 ноября 2012 года

Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных

Скачать документ:
66 КБ 148 КБ

В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые требования к защите персональных данных при их обработке в информационных системах персональных данных.

2. Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001).

Председатель Правительства
Российской Федерации
Д.МЕДВЕДЕВ

Утверждены
постановлением Правительства
Российской Федерации
от 1 ноября 2012 г. N 1119

ТРЕБОВАНИЯ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее — информационные системы) и уровни защищенности таких данных.

2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее — оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее — уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

Читайте так же:  Неявка иностранного гражданина в суд

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом — третьем настоящего пункта.

Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.

6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».

8. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

9. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

10. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;

г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

д) для информационной системы актуальны угрозы 2-г отипа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

11. Необходимость обеспечения3-гоуровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;

д) для информационной системы актуальны угрозы3-готипа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

12. Необходимость обеспечения4-гоуровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

Читайте так же:  Гражданский процессуальный кодекс кассационная инстанция

13. Для обеспечения4-гоуровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

15. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

16. Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований:

а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

Источник: http://data-sec.ru/laws/1119-personal-data-security/

№ 11. Уровни защищенности персональных данных

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы.

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

Источник: http://data-sec.ru/personal-data/protection-level/

Уровни защиты и базовые модели угроз безопасности персональных данных при их обработке в информационных системах ПД

Разговоры по телефону, фотографии, паспортные данные — это персональные данные.

Но интернет и техника, на которой они хранятся, не надежны — данные могут корыстно украсть.

Так что же нужно знать и сделать для того, чтобы личные сведения были в безопасности? Обо всем по порядку.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

Читайте так же:  Апелляционная жалоба пропуск срока исковой давности

Какие существуют опасности?

Бывают внешние и внутренние угрозы безопасности персональных данных. Они, в свою очередь, могут подразделяться на санкционированные и случайные. Внешнюю опасность могут оказывать террористы, зарубежные спецслужбы, криминальные группировки, конкуренты и т.д., которые могут блокировать, копировать, и даже уничтожать информацию, имеющую ценность для обеих сторон.

Базовая модель угроз

За основу взята 4.1«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 г. Санкционированные «нападки» на информацию извне могут происходить с помощью техники, которая перехватывает цифровой, письменный и звуковой сигналы.

Среда распространения информативного сигнала – это физическая среда, по которой информативный сигнал может распространяться и приниматься (регистрироваться) приемником.

Еще с помощью современных вычислительных средств может быть утечка видовой информации. Например, с помощью оптических средств и прочих устройств отображения с экранов дисплеев. С помощью скрытых видеокамер они внедряются в служебные помещения компании и скрытно используются ее сотрудниками. Бывают и случайности, когда наводки и электромагнитные излучения затрагивают побочные каналы: чьи-то телефонные разговоры, например.

Каналы утечки информации, обусловленные наводками, образуются за счет соединительных линий технических средств и посторонних проводников (в том числе цепей электропитания и заземления).

Что касается интернета, то он является, пожалуй, самым распространенным каналом «кражи» персональных сведений в настоящее время. Меняя пароли, внедряя ложные объекты в информационную систему, замедляя работу программного обеспечения, злоумышленники наносят вред производительности и эффективности информационных систем.

Внутренняя угроза «утечки» информации – это такая угроза, которую создают сотрудники определенного предприятия. Они могут санкционировано взломать базу данных и использовать ее в личных интересах. Такое возможно, если в компании не налажена техническая мера защиты и контроля доступа к персональным данным сотрудников.

Уровни защиты

Сама система защиты информации может иметь четыре уровня защиты. Отметим, что выбор средств определяет оператор на основании нормативных актов (часть 4 статьи 19 ФЗ «О персональных данных»).

Требования, необходимые для обеспечения четвертого уровня безопасности персональных данных:

  • организация должна создать режим, препятствующий проникновению в помещения лиц, не имеющих к ним доступ;
  • необходимо позаботиться о сохранности персональных файлов;
  • руководитель должен утвердить оператора, а также документы, в которых заключался бы перечень лиц, которым разрешено в силу служебных обязанностей обращаться к конфиденциальной информации других сотрудников;
  • использование средств защиты информации, прошедших процедуру оценки в области обеспечения безопасности информации.

Для обеспечения третьего уровня защищенности необходимо соблюдения всех требований четвертого уровня и добавляется еще один – обязательно назначается должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

Для второго уровня защищенности характерно положение о том, что к журналу с информацией может иметь доступ сам оператор или сотрудник, которому это позволяют его служебные обязанности. А также к нему относятся все требования третьего уровня безопасности.

И, наконец, для обеспечения первого уровня безопасности необходимо соблюсти все вышеперечисленные требования и обеспечить соблюдение следующих пунктов:

  • установка в электронном журнале безопасности такой системы, которая могла бы автоматически заменять доступа сотрудника к базе данных в связи смены его полномочий;
  • назначение ответственного человека (сотрудника) за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Он имеет право поручить это дело юридическому лицу или лицам, у которых на это есть лицензия, заключив с ними договор («Требования к защите персональных данных при их обработке в информационных системах персональных данных от» 1 ноября 2012 г. №1119).

Обеспечение высокого уровня защиты

  1. Тщательно проработайте организационный момент:
  • Используйте технику, которая удовлетворяет требования закона РФ, гарантирующих охрану информации.
  • Система защиты должна быть проверена процедурой оценочного соответствия.
  • «Положение о персональных данных работников и обучающихся» (п. 6) должно быть основанием для допуска лиц к системе данных, также имеют место быть пароли доступа для каждого сотрудника.
  • Сотрудники должны быть осведомлены обо всех существующих положениях, инструкциях работы в сети и расписаться после ознакомления с ними (Например, «Положение о корпоративной компьютерной сети», «Инструкция пользователя при обработке персональной информации на объектах вычислительной техники», и т.д. ).
  • Пароли доступа к системе с персональной информацией для каждого сотрудника должны быть индивидуальными и состоять более чем из шести знаков.
  • Поставьте жесткие рамки:
    • Работа посторонних лиц за техникой, где есть какая – либо конфиденциальная информация, без пароля доступа должна воспрещаться.
    • Пересылка через Интернет конфиденциальных сведений по ненадежным каналам недопустима.
  • Уделите особое внимание:
    • Контролю над исправностью системного оборудования.
    • Налаженной системе работы противовирусного программного обеспечения, исключая чрезмерные проверки на выявление зараженных элементов.
    • Соблюдению условий, при которых программное обеспечение не будет извлечено, утилизировано или подвержено конфигурации и т.д.

    Законом дано право юридическим лицам самим определять меру защиты своей конфиденциальной информации. Не будьте же уязвимыми – примите необходимые меры.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (800) 350-22-67 Это быстро и бесплатно !

    Видео (кликните для воспроизведения).

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/bezopasnost-pri-ih-obrabotke.html

    Уровни защиты персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here