Типы и классификация ИСПДн - RTM Group
8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00
_
Перейти
Перейти к услуге

Типы и классификация ИСПДн

Содержание данной статьи проверено и подтверждено:

ИСПДн – это информационная система персональных данных.

Она представляет собой систему из набора персональных данных (далее – ПДн), который располагается в базе данных (далее – БД), а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Она может производиться с использованием средств вычислительной техники, либо же без их использования, то есть вручную оператором.

  • Оператором является организация, которая обрабатывает данные субъекта.
  • Субъект – это человек, который предоставляет персональные сведения о себе.

Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора.

 

ИСПДн на примере

Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной информационной системе будет располагаться БД персональных данных действующих и уволенных сотрудников. В данную систему будут входить все средства, которые способствуют обработке этих данных. Например АРМы, серверы, программное обеспечение, применяемые средства защиты информации.

 

Классификация и типы ИСПДн

Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению:

  • типа ИСПДн;
  • актуальных угроз.

Типы ИСПДн

Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы ИС, которые обрабатывают ПДн, относящиеся к следующим категориям:

  • специальные;
  • биометрические;
  • общедоступные;
  • иные;
  • персональные данные сотрудников.

Актуальные угрозы ИСПДн

После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы:

  • первого типа;
  • второго типа;
  • третьего типа.

К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).

К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.

К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.

 

Уровни защищенности ИСПДн

Существует четыре уровня защищенности.

Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов:

  • чьи персональные данные обрабатываются (работников или не работников);
  • количество субъектов ПДн.

Составим таблицу определения уровня защищенности ИСПДн согласно ПП №1119.

Категория ПДн Отношение субъекта ПДн к оператору Количество ПДн Актуальные угрозы
У 1 У 2 У 3
специальные не сотрудник более 100000 УЗ 1 УЗ 1 УЗ 2
менее 100000 УЗ 1 УЗ 2 УЗ 3
сотрудник нет ограничений УЗ 1 УЗ 2 УЗ 3
биологические не сотрудник более 100000 УЗ 1 УЗ 2 УЗ 3
менее 100000 УЗ 1 УЗ 2 УЗ 3
сотрудник нет ограничений УЗ 1 УЗ 2 УЗ 3
общедоступные не сотрудник более 100000 УЗ 2 УЗ 2 УЗ 4
менее 100000 УЗ 2 УЗ 3 УЗ 4
сотрудник нет ограничений УЗ 2 УЗ 3 УЗ 4
иные не сотрудник более 100000 УЗ 1 УЗ 2 УЗ 3
менее 100000 УЗ 1 УЗ 3 УЗ 4
сотрудник нет ограничений УЗ 1 УЗ 3 УЗ 4

 

ИСПДн: основные моменты

Чтобы определить, как именно защищать вашу ИС, в которой обрабатываются персональные данные ваших сотрудников или клиентов, необходимо определить уровень защищенности. Для этого нужно знать следующее:

  • какие персональные данные обрабатываются и с помощью этого выделить тип ИС;
  • угрозы, актуальные для вашей ИС;
  • количество обрабатываемых данных
  • кем является субъект предоставляемых данных (работником или не работником).

Зная все эти сведения, можно легко установить уровень защищенности вашей ИС. Меры для обеспечения всех вышеприведенных уровней защищенности определены в законодательных документах.

Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

Задать вопрос эксперту

    Связанные услуги

    Наши кейсы по теме

    Сокрытие части инфраструктуры предприятия

    При анализе ситуации было обнаружено, что две функционирующие ИСПДн не были включены в область оценки. Организации-заказчику требовалось провести анализ ситуации и устранить указанные проблемы.

    Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.