Насколько безопасно хранятся личные сведения и как определить уровень защищенности персональных данных?

Опорный законодательный акт в сфере защиты персональных данных в Российской Федерации – закон №152 от 27 июля 2006 «О персональных данных». Согласно ст.19 документа, уровни защищенности, требования к защите информации и ее материальных носителей, устанавливает Правительство РФ. Правительственные акты с момента выхода закона несколько раз обновлялись и актуализировались. По состоянию на апрель 2018 года операторы руководствуются постановлением №1119, которое было опубликовано 1 ноября 2012 года.

При определении уровня защищенности и потенциальных угроз, также используется приказ ФСТЭК № 21«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18 февраля 2013 года.

Скрыть содержание

Основные понятия

Уровень защищенности – это совокупность анализа потенциальных угроз для информационных систем, обрабатывающих личные сведения работников, контрагентов, клиентов или партнеров компании-оператора, рисков для самих субъектов данных в случае несанкционированного доступа, и технических и организационных мер, предпринимаемых оператором для защиты.

Другими словами, уровень защищенности – это соотношение рисков и адекватных им мер реагирования. Градация уровней зависит от количества и категорий лиц, чьи данные обрабатываются, вида отношений между субъектами и операторами (трудовые, договорные), и актуальных угроз для конкретной информационной системы. Угрозы, в свою очередь, разделены на три типа:

  1. Включает в себя риски, в том числе недокументированные, которые могут возникнуть в системном программном обеспечении.
  2. Относится к опасностям (декларированным и нет), которые могут быть вызваны прикладным ПО, использующимся информационной системой.
  3. Обобщает риски, не связанные с недокументированными возможностями системного или прикладного ПО.
Важно! Ответственность за адекватную оценку рисков и эффективность мер защиты баз данных возлагается на оператора. Допустимо привлекать для проведения этих работ подрядчиков, имеющих соответствующую лицензию.

Акт определения мер электронной безопасности и классификации информационных систем

Локальный документ предприятия, который обобщает результаты анализа материально-технической, организационной и правовой готовности к обработке персональных данных, предотвращению угроз и реагированию на потенциальные риски, называется Акт определения уровня защищенности персональных данных и классификации.

Документ составляется комиссией должностных лиц, чья служебная деятельность связана с обработкой и защитой персональных данных. Состав комиссии утверждается приказом по предприятию и зачастую включает руководителей и специалистов кадрового отдела, бухгалтерии, службы делопроизводства и IT-обеспечения. В самой комиссии должны быть назначены председатель, заместитель, и секретарь. Эти сотрудники осуществляют проведение классификации информационных систем согласно определенному порядку.

Документ строится в следующей последовательности:

  1. Название акта. Наименование документа пишется по центру, можно в верхнем регистре, более крупным или жирным шрифтом.
  2. Вводная информация. В первом абзаце содержатся сведения о составе комиссии, целях и основаниях ее деятельности. Используется шаблонная формулировка, например: «Комиссия в составе председателя Иванова, заместителя Петрова, секретаря Сидорова и членов комиссии Сергеева и Федорова, согласно приказу генерального директора ООО «АБВ», во исполнение постановления Правительства РФ №1119 от 01.11.2012 г., определила …».
  3. Категории данных. Постановление классифицирует четыре типа личных сведений: общедоступные, биометрические, специальные и иные. К общедоступным относятся данные, взятые для обработки из открытых источников. Биометрические содержат информацию о физиологических особенностях субъекта, по которым его можно идентифицировать.

    Специальные категории – сведения о расе, национальной принадлежности, политических и религиозных взглядах, личной жизни. В категорию иные отнесены сведения, не подпадающие под остальные типы. Выбирая категории, обратите внимание, что потребность во всего одном виде, допустим, специальных данных, относит вашу информационную систему к этой категории.

  4. Объем данных. Менее 100 тысяч субъектов, или более 100 тысяч.
  5. Угрозы. Выберите свой тип угроз, согласно приведенной выше правительственной классификации.

    Справка! Выбор типа угроз желательно аргументировать ссылкой на проведенное моделирование рисков или технической информацией.
  6. Категории субъектов. В этом контексте случае регулятора интересует деление всего на две категории: личные сведения сотрудников и данные сторонних лиц.
  7. Классификация информационной системы. Вида всего два – типовая и специальная. К последней относятся системы, обрабатывающие специальные категории информации, и те, в которых полностью автоматизированная обработка влечет за собой юридически значимые последствия.
  8. Структура системы. Автономная, локальная или распределенная – то есть полностью изолированная от других информационных систем, локализованная в рамках рабочих мест или структурных подразделений одного предприятия без технологий удаленного доступа, или с использованием таковых.
  9. Подключение информационной системы к сетям публичного применения. Укажите наличие или отсутствие.
  10. Режим обработки. Однопользовательский или многопользовательский.
  11. Границы доступа. Разграничение прав доступа установлено или нет.
  12. Местонахождения системы. На территории Российской Федерации, частично или полностью вне пределов РФ.
  13. Вывод. Комиссия устанавливает уровень защищенности системы, от которого будут зависеть требования, предъявляемые к оборудованию и комплексу мер по обеспечению безопасности данных. Может использоваться подобная формулировка: «Рассмотрев сведения об информационной системе персональных данных ООО «АБВ», комиссия решила установить __ уровень защищенности».
  14. Дата, подписи членов комиссии.
Важно! Согласно приказу ФСТЭК № 21 от 18 февраля 2013 года, оценка уровня защищенности проводится не реже, чем раз в три года.
За образец можно взять акты, публикуемые на специальных сайтах.

Количество степеней доступа

Постановление правительства выделяет всего четыре уровня защищенности. Каждый соответствует набору технических и организационных мер, которые обязательно должны быть внедрены для обеспечения порядка и безопасности информационной базы. Приказ ФСТЭК также регламентирует требования к классу оборудования, используемого для предупреждения угроз на каждой ступени.

Деление мер электронной безопасности в зависимости от угроз

  1. Первый уровень необходим для систем, которые подвержены 1-му типу угроз, обрабатывающих специальные, биометрические или иные данные, или для систем с рисками 2-го типа, в которых обрабатываются специальные данные более 100 тысяч субъектов – не сотрудников компании-оператора.
  2. Второй установлен для систем, работающих с любым количеством общедоступных данных при 1 типе опасностей. Для систем, подверженных угрозам 2 типа, в которых обрабатываются специальные данные сотрудников компании и информация третьих лиц в объеме менее 100 тысяч субъектов, биометрические данные, общедоступная информация или иные сведения о более чем 100 тысячах субъектов, не являющихся сотрудниками предприятия.

    Для систем, подверженных угрозам 3 типа, работающих со специальными категориями информации более чем 100 тысяч субъектов – не сотрудников.

  3. Третий устанавливается для систем с угрозами 2 типа, в которых обрабатываются общедоступные или иные сведения о менее чем 100 тысячах субъектов, работающих в компании или нет.

    Систем, подверженных угрозам 3 типа, работающих со специальной или иной информацией менее чем 100 тысяч субъектов, не работающих в компании, с биометрическими данными любого количества субъектов, иными сведениями о более чем 100 тысячах субъектов – не сотрудников.

  4. Четвертый уровень распространяется на информационные базы с 3 типом угроз, в которых обрабатываются общедоступные сведения любого количества субъектов, или иные категории информации о сотрудниках и третьих лицах, в объеме меньше 100 тысяч субъектов.

Для удобства определения нужного уровня, представим данные в таблице.

Типы угроз/ уровень защищенности Категории данных Категории субъектов Объем
1 2 3
1УЗ 1УЗ 2УЗ Специальные Третьи лица от 100 тыс.
1УЗ 2УЗ 3УЗ до 100 тыс.
1УЗ 2УЗ 3УЗ Персонал любой
1УЗ 2УЗ 3УЗ Биометрические Третьи лица от 100 тыс.
1УЗ 2УЗ 3УЗ до 100 тыс.
1УЗ 2УЗ 3УЗ Персонал любой
1УЗ 2УЗ 3УЗ Иные Третьи лица от 100 тыс.
1УЗ 3УЗ 4УЗ до 100 тыс.
1УЗ 3УЗ 4УЗ Персонал любой
2УЗ 2УЗ 4УЗ Общедоступные Третьи лица от 100 тыс.
2УЗ 3УЗ 4УЗ до 100 тыс.
2УЗ 3УЗ 4УЗ Персонал любой

Как определить степень доступа с помощью таблицы?

Для определения нужной степени защищенности обобщите перечисленные в акте сведения и составьте свой аналог таблицы уровней.

Предположим, что оператор обрабатывает биометрическую и общедоступную информацию о собственных сотрудниках в количестве менее 100 тысяч человек и общедоступные и иные категории данных третьих лиц, в объеме свыше 100 тысяч человек, при 2 типе угроз. Тогда определение уровня защищенности будет выглядеть следующим образом:

Уровень защищенности Тип угроз Категории данных Категории субъектов Объем
2 УЗ 2 Биометрические Персонал до 100 тыс.
2 УЗ 2 Иные Третьи лица от 100 тыс.
2 УЗ 2 Общедоступные Третьи лица от 100 тыс.
3 УЗ Персонал до 100 тыс.

Так как предполагаемая система одна, выбираем более высокий уровень защиты – второй. Требования к мерам безопасности уровней идут по нарастающей, от четвертого к первому. Для второго обязательно:

  • обеспечение охраны носителей и помещения, где расположено оборудование с базами данных;
  • использование средств защиты, прошедших процедуру оценки соответствия требованиям законодательства;
  • назначение ответственного за безопасность персональных данных должностного лица;
  • определение перечня лиц, имеющих доступ к системе и данным;
  • доступ к информации электронного журнала сообщений открыт только должностным лицам.

Процедура определения уровня защищенности систем персональных данных – основополагающий элемент в работе компании с персональными данными. Она охватывает правовую, организационную и техническую сторону защиты информации, и прямо предопределяет успех прохождения последующих проверок.

Отнестись к определению уровня и внедрению соответствующих требований следует со всей серьезностью. Если компания-оператор не имеет собственных специалистов достаточной квалификации, разумно будет прибегнуть к субподряду.

Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий