1. Главная / Статьи 
ул. Черняховского, д. 16 125319 Москва +7 499 152-68-65
Логотип
| статьи | печать | 946

Удовлетворяя требованиям закона

Согласно Федеральному закону от 27.06.2006 № 152-ФЗ «О персональных данных» оператор персональных данных (любая организация) обязан организовать их защиту. Для этого надлежит провести классификацию информационной системы, используемой для их обработки.

Классификацию информационной системы персональных данных (ИСПДн), а также меры и средства их защиты устанавливает сам оператор персональных данных (ПДн). Он должен сначала составить перечень сведений, относимых к персональным, определить их категории, а также цели обработки. Затем нужно составить перечень ИСПДн и разработать (или усовершенствовать существующую) нормативные документы, регламентирующие обработку ПДн.

ИСПДн классифицируется по категории обрабатываемых в компании ПДн и их объему. К дополнительным критерям классификации относят:

  • характеристики безопасности (конфиденциальность, целостность, доступность);
  • структуру информационных систем компании (локальные, распределенные);
  • наличие подключений к Интернету, межбанковской системе передачи финансовых данных и др.;
  • режим обработки ПДн (однопользовательский или многопользовательский);
  • режим разграничения прав доступа к ПДн;
  • местонахождение ИС (в пределах РФ, частично за пределами).


Согласно приказу ФСТЭК, ФСБ и Мининформсвязи России от 13.03.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» установлены категории ПДн:

  • К1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • К2 — персональные данные, позволяющие идентифицировать субъект ПДн и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории К1;
  • К3 — персональные данные, позволяющие идентифицировать субъекта ПДн;
  • К4 — обезличенные и (или) общедоступные персональные данные.


По заданным характеристикам безопасности персональных данных информационные системы подразделяются на типовые и специальные.

Типовые ИСПДн — системы, в которых требуется обеспечение только конфиденциальности ПДн. Специальные — ИСПДн, в которых требуется обеспечить хотя бы одну из характеристик безопасности, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным ИСПДн относят системы, обрабатывающие ПДн о состоянии здоровья субъектов, а также системы, в которых на основании исключительно автоматизированной обработки ПДн принимаются решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающие его права и законные интересы.

Чем выше категория ПДн и больше субъектов ПДн, тем выше класс ИСПДн и сложнее защита.

Уточнив необходимость имеющегося объема персональных данных и исключив часть из них из автоматизированной обработки, можно снизить их категорию.

Решить эту задачу помогают и технические меры. Например, разделение ИСПДн по функциональному признаку, выделение баз данных в отдельный сегмент, использование терминального доступа и т.д.

Даже для ИСПДн высокого класса всегда имеются возможности снижения затрат на защиту персональных данных.

Классификация информационных систем персональных данных

Категория ПДн

Класс системы

3 (до 1000 субъектов ПД)

2 (1000—100 000 субъектов ПДн)

1 (более 100 000 субъектов ПДн)

4

К4

К4

К4

3

К3

К3

К2

2

К3

К2

К1

1

К1

К1

К1

Мероприятия по обеспечению безопасности персональных данных

Определение угроз безопасности ПДн, формирование модели угроз
• Классификация ИСПДн
• Разработка системы защиты ПДн
• Разработка документов, регламентирующих обеспечение безопасности ПДн и эксплуатации систем
• Установка средств защиты ПДн
• Организация охраны и физической защиты помещений расположения ИСПДн
• Ввод в эксплуатацию системы защиты ПДн
• Назначение ответственных за обеспечение безопасности ПДн, их обучение
• Допуск лиц к работе с ПДн
• Контроль соблюдения условий использования системы защиты ПДн, проведение разбирательств по фактам нарушений
• Разработка и принятие мер по предотвращению возможных негативных последствий