Удовлетворяя требованиям закона

Согласно Федеральному закону от 27.06.2006 № 152-ФЗ «О персональных данных» оператор персональных данных (любая организация) обязан организовать их защиту. Для этого надлежит провести классификацию информационной системы, используемой для их обработки.

Классификацию информационной системы персональных данных (ИСПДн), а также меры и средства их защиты устанавливает сам оператор персональных данных (ПДн). Он должен сначала составить перечень сведений, относимых к персональным, определить их категории, а также цели обработки. Затем нужно составить перечень ИСПДн и разработать (или усовершенствовать существующую) нормативные документы, регламентирующие обработку ПДн.

ИСПДн классифицируется по категории обрабатываемых в компании ПДн и их объему. К дополнительным критерям классификации относят:

• характеристики безопасности (конфиденциальность, целостность, доступность);
• структуру информационных систем компании (локальные, распределенные);
• наличие подключений к Интернету, межбанковской системе передачи финансовых данных и др.;
• режим обработки ПДн (однопользовательский или многопользовательский);
• режим разграничения прав доступа к ПДн;
• местонахождение ИС (в пределах РФ, частично за пределами).

Согласно приказу ФСТЭК, ФСБ и Мининформсвязи России от 13.03.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» установлены категории ПДн:

• К1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
• К2 — персональные данные, позволяющие идентифицировать субъект ПДн и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории К1;
• К3 — персональные данные, позволяющие идентифицировать субъекта ПДн;
• К4 — обезличенные и (или) общедоступные персональные данные.

По заданным характеристикам безопасности персональных данных информационные системы подразделяются на типовые и специальные.

Типовые ИСПДн — системы, в которых требуется обеспечение только конфиденциальности ПДн. Специальные — ИСПДн, в которых требуется обеспечить хотя бы одну из характеристик безопасности, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным ИСПДн относят системы, обрабатывающие ПДн о состоянии здоровья субъектов, а также системы, в которых на основании исключительно автоматизированной обработки ПДн принимаются решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающие его права и законные интересы.

Чем выше категория ПДн и больше субъектов ПДн, тем выше класс ИСПДн и сложнее защита.

Уточнив необходимость имеющегося объема персональных данных и исключив часть из них из автоматизированной обработки, можно снизить их категорию.

Решить эту задачу помогают и технические меры. Например, разделение ИСПДн по функциональному признаку, выделение баз данных в отдельный сегмент, использование терминального доступа и т.д.

Даже для ИСПДн высокого класса всегда имеются возможности снижения затрат на защиту персональных данных.

Классификация информационных систем персональных данных

Мероприятия по обеспечению безопасности персональных данных