Типы и классификация ИСПДн

Узнать больше

Содержание данной статьи проверено и подтверждено:

ИСПДн расшифровка

ИСПДн – это информационная система персональных данных.

Она представляет собой систему из набора персональных данных (далее – ПДн), который располагается в базе данных (далее – БД), а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Она может производиться с использованием средств вычислительной техники, либо же без их использования, то есть вручную оператором.

  • Оператор — организация, которая обрабатывает данные субъекта.
  • Субъект – это человек, который предоставляет персональные сведения о себе.

Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора. Что также подразумевает ответственность.

 

Информационные системы персональных данных: пример

Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной информационной системе будет располагаться БД персональных данных действующих и уволенных сотрудников. В данную систему будут входить все средства, которые способствуют обработке этих данных. Например АРМы, серверы, программное обеспечение, применяемые средства защиты информации.

 

Классификация и типы ИСПДн

Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению:

  • типа ИСПДн;
  • актуальных угроз.

Типы ИСПДн. Категории обрабатываемых персональных данных (ПП №1119)

Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы ИС, которые обрабатывают ПДн, относящиеся к следующим категориям:

  • специальные;
  • биометрические;
  • общедоступные;
  • иные;
  • персональные данные сотрудников.

Специальная категория персональных данных

На практике часто возникает вопрос «что является специальной категорией персональных данных?» В соответствии с ФЗ №152-ФЗ «О персональных данных» к специальной категории персональных данных относятся персональные данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Ст. 10 описывает те случаи, в которых разрешается их обработка.

Актуальные типы угроз ИСПДн

После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы:

  • 1 типа;
  • 2 типа;
  • 3 типа.

К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).

К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.

К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.

 

Уровни защищенности персональных данных (ИСПДн)

Существует четыре уровня защищенности:

  • уровень защищенности 4 (УЗ 4) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
  • уровень защищенности 3 (УЗ 3) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
  • уровень защищенности 2 (УЗ 2) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
  • уровень защищенности 1 (УЗ 1) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов:

  • чьи персональные данные обрабатываются (работников или не работников);
  • количество субъектов ПДн.

Определение уровня защищенности

Как определить уровень защищенности персональных данных? Составим таблицу определения уровня защищенности ИСПДн согласно ПП №1119.

Таблица уровни защищенности персональных данных по ПП №1119.

Категория ПДн Отношение субъекта ПДн к оператору Количество ПДн Актуальные угрозы
У 1 У 2 У 3
специальные не сотрудник более 100000 УЗ 1 УЗ 1 УЗ 2
менее 100000 УЗ 1 УЗ 2 УЗ 3
сотрудник нет ограничений УЗ 1 УЗ 2 УЗ 3
биометрические не сотрудник более 100000 УЗ 1 УЗ 2 УЗ 3
менее 100000 УЗ 1 УЗ 2 УЗ 3
сотрудник нет ограничений УЗ 1 УЗ 2 УЗ 3
общедоступные не сотрудник более 100000 УЗ 2 УЗ 2 УЗ 4
менее 100000 УЗ 2 УЗ 3 УЗ 4
сотрудник нет ограничений УЗ 2 УЗ 3 УЗ 4
иные не сотрудник более 100000 УЗ 1 УЗ 2 УЗ 3
менее 100000 УЗ 1 УЗ 3 УЗ 4
сотрудник нет ограничений УЗ 1 УЗ 3 УЗ 4

 

ИСПДн: основные моменты

Чтобы определить, как именно защищать вашу ИС, в которой обрабатываются персональные данные ваших сотрудников или клиентов, необходимо определить уровень защищенности. Для этого нужно знать следующее:

  • какие персональные данные обрабатываются и с помощью этого выделить тип ИС;
  • угрозы, актуальные для вашей ИС;
  • количество обрабатываемых данных
  • кем является субъект предоставляемых данных (работником или не работником).

Зная все эти сведения, можно легко установить уровень защищенности вашей ИС. Меры для обеспечения всех вышеприведенных уровней защищенности определены в законодательных документах.

Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

Телеграм канал ИТ Право Безопасность

Задать вопрос эксперту

    Связанные услуги

    Наши кейсы по теме

    Сокрытие части инфраструктуры предприятия

    При анализе ситуации было обнаружено, что две функционирующие ИСПДн не были включены в область оценки. Организации-заказчику требовалось провести анализ ситуации и устранить указанные проблемы.