Типы и классификация ИСПДн

ИСПДн расшифровка

ИСПДн – это информационная система персональных данных.

Она представляет собой систему из набора персональных данных (далее – ПДн), который располагается в базе данных (далее – БД), а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Она может производиться с использованием средств вычислительной техники, либо же без их использования, то есть вручную оператором.

• Оператор – организация, которая обрабатывает данные субъекта.
• Субъект – это человек, который предоставляет персональные сведения о себе.

Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора. Что также подразумевает ответственность.

Информационные системы персональных данных: пример

Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной информационной системе будет располагаться БД персональных данных действующих и уволенных сотрудников. В данную систему будут входить все средства, которые способствуют обработке этих данных. Например АРМы, серверы, программное обеспечение, применяемые средства защиты информации.

Классификация и типы ИСПДн

Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению:

• типа ИСПДн;
• актуальных угроз.

Типы ИСПДн. Категории обрабатываемых персональных данных (ПП №1119)

Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы ИС, которые обрабатывают ПДн, относящиеся к следующим категориям:

• специальные;
• биометрические;
• общедоступные;
• иные;
• персональные данные сотрудников.

Специальная категория персональных данных

На практике часто возникает вопрос “что является специальной категорией персональных данных?” В соответствии с ФЗ №152-ФЗ “О персональных данных” к специальной категории персональных данных относятся персональные данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Ст. 10 описывает те случаи, в которых разрешается их обработка.

Актуальные типы угроз ИСПДн

После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы:

• 1 типа;
• 2 типа;
• 3 типа.

К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).

К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.

К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.

Уровни защищенности персональных данных (ИСПДн)

Существует четыре уровня защищенности:

• уровень защищенности 4 (УЗ 4) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
• уровень защищенности 3 (УЗ 3) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
• уровень защищенности 2 (УЗ 2) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
• уровень защищенности 1 (УЗ 1) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов:

• чьи персональные данные обрабатываются (работников или не работников);
• количество субъектов ПДн.

Определение уровня защищенности

Как определить уровень защищенности персональных данных? Составим таблицу определения уровня защищенности ИСПДн согласно ПП №1119.

Таблица уровни защищенности персональных данных по ПП №1119.

ИСПДн: основные моменты

Чтобы определить, как именно защищать вашу ИС, в которой обрабатываются персональные данные ваших сотрудников или клиентов, необходимо определить уровень защищенности. Для этого нужно знать следующее:

• какие персональные данные обрабатываются и с помощью этого выделить тип ИС;
• угрозы, актуальные для вашей ИС;
• количество обрабатываемых данных
• кем является субъект предоставляемых данных (работником или не работником).

Зная все эти сведения, можно легко установить уровень защищенности вашей ИС. Меры для обеспечения всех вышеприведенных уровней защищенности определены в законодательных документах.