Типы и классификация ИСПДн
Содержание данной статьи проверено и подтверждено:
Кобец Дмитрий Андреевич
Эксперт в сфере информационной безопасностиИСПДн расшифровка
ИСПДн – это информационная система персональных данных.
Она представляет собой систему из набора персональных данных (далее – ПДн), который располагается в базе данных (далее – БД), а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Она может производиться с использованием средств вычислительной техники, либо же без их использования, то есть вручную оператором.
- Оператор — организация, которая обрабатывает данные субъекта.
- Субъект – это человек, который предоставляет персональные сведения о себе.
Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора. Что также подразумевает ответственность.
Информационные системы персональных данных: пример
Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной информационной системе будет располагаться БД персональных данных действующих и уволенных сотрудников. В данную систему будут входить все средства, которые способствуют обработке этих данных. Например АРМы, серверы, программное обеспечение, применяемые средства защиты информации.
Классификация и типы ИСПДн
Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению:
- типа ИСПДн;
- актуальных угроз.
Типы ИСПДн. Категории обрабатываемых персональных данных (ПП №1119)
Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы ИС, которые обрабатывают ПДн, относящиеся к следующим категориям:
- специальные;
- биометрические;
- общедоступные;
- иные;
- персональные данные сотрудников.
Специальная категория персональных данных
На практике часто возникает вопрос «что является специальной категорией персональных данных?» В соответствии с ФЗ №152-ФЗ «О персональных данных» к специальной категории персональных данных относятся персональные данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Ст. 10 описывает те случаи, в которых разрешается их обработка.
Актуальные типы угроз ИСПДн
После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы:
- 1 типа;
- 2 типа;
- 3 типа.
К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
Уровни защищенности персональных данных (ИСПДн)
Существует четыре уровня защищенности:
- уровень защищенности 4 (УЗ 4) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
- уровень защищенности 3 (УЗ 3) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
- уровень защищенности 2 (УЗ 2) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
- уровень защищенности 1 (УЗ 1) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.
Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов:
- чьи персональные данные обрабатываются (работников или не работников);
- количество субъектов ПДн.
Определение уровня защищенности
Как определить уровень защищенности персональных данных? Составим таблицу определения уровня защищенности ИСПДн согласно ПП №1119.
Таблица уровни защищенности персональных данных по ПП №1119.
Категория ПДн | Отношение субъекта ПДн к оператору | Количество ПДн | Актуальные угрозы | ||
У 1 | У 2 | У 3 | |||
специальные | не сотрудник | более 100000 | УЗ 1 | УЗ 1 | УЗ 2 |
менее 100000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
сотрудник | нет ограничений | УЗ 1 | УЗ 2 | УЗ 3 | |
биометрические | не сотрудник | более 100000 | УЗ 1 | УЗ 2 | УЗ 3 |
менее 100000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
сотрудник | нет ограничений | УЗ 1 | УЗ 2 | УЗ 3 | |
общедоступные | не сотрудник | более 100000 | УЗ 2 | УЗ 2 | УЗ 4 |
менее 100000 | УЗ 2 | УЗ 3 | УЗ 4 | ||
сотрудник | нет ограничений | УЗ 2 | УЗ 3 | УЗ 4 | |
иные | не сотрудник | более 100000 | УЗ 1 | УЗ 2 | УЗ 3 |
менее 100000 | УЗ 1 | УЗ 3 | УЗ 4 | ||
сотрудник | нет ограничений | УЗ 1 | УЗ 3 | УЗ 4 |
ИСПДн: основные моменты
Чтобы определить, как именно защищать вашу ИС, в которой обрабатываются персональные данные ваших сотрудников или клиентов, необходимо определить уровень защищенности. Для этого нужно знать следующее:
- какие персональные данные обрабатываются и с помощью этого выделить тип ИС;
- угрозы, актуальные для вашей ИС;
- количество обрабатываемых данных
- кем является субъект предоставляемых данных (работником или не работником).
Зная все эти сведения, можно легко установить уровень защищенности вашей ИС. Меры для обеспечения всех вышеприведенных уровней защищенности определены в законодательных документах.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram
Задать вопрос эксперту
Связанные услуги
Наши кейсы по теме
Сокрытие части инфраструктуры предприятия
При анализе ситуации было обнаружено, что две функционирующие ИСПДн не были включены в область оценки. Организации-заказчику требовалось провести анализ ситуации и устранить указанные проблемы.