Уровни защищенности персональных данных

Ликбез поперсональным данным

№ 11.

№ 11. Уровни защищенности персональных данных

Уровни защищенности персональных данных

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Постановление Правительства № 1119 от 1 ноября 2012

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы…

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

Понравилось? Расскажите друзьям:

Уровни защищенности персональных данных вместо классов

Новое постановление правительства об уровнях защищенности персональных данных

Как определить уровень защищенности информационных систем

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные сделаны общедоступными субъектом персональных данных;

(п. 2 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей )

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

(п. 2.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ)

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";

(п. 2.2 введен Федеральным законом от 27.07.2010 N 204-ФЗ)

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным Российской Федерации;

(п. 2.3 введен Федеральным законом от 25.07.2011 N 261-ФЗ, в ред. Федерального закона от 21.07.2014 N 216-ФЗ)

(см. текст в предыдущей )

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

(п. 3 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей )

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

(п. 6 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей )

7) обработка персональных данных осуществляется в соответствии с Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

(п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей )

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

(п. 7.1 введен Федеральным законом от 23.07.2013 N 205-ФЗ)

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

(п. 8 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей )

9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

(п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

(п. 10 введен Федеральным законом от 04.06.2014 N 142-ФЗ)

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей )

Определение уровня защищенности ИСПДн

1 ноября утверждено постановление правительства №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

В соответствии с постановлением, требования по защите персональных данных в ИСПДн зависят от уровня защищенности ИСПДн.

Для определения уровня защищенности необходимо выделить ряд параметров ИСПДн, описанных ниже.

Все ИСПДн по категориям обрабатываемых данных делятся на:

— обрабатывающие специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни)
— обрабатывающие биометрические категории персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта)
— обрабатывающие иные персональных данных.

Кроме того отдельно выделяют системы, обрабатывающие общедоступные персональные данные (данные субъектов персональных данных, полученные только из общедоступных источников).

Также отдельно выделены информационные системы, обрабатывающие персональные данные только сотрудников оператора.

В постановлении приведены три типа актуальных угроз.

1 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (операционная система)
2 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (программы обработки ПДн)
3 тип. Угрозы, не связанные с наличием недокументированных (недекларированных) возможностей

При этом в документе не дается указаний на способы выявления недекларированных возможностей программного обеспечения.

Это привело к наличию различных точек зрения на этот вопрос.

Мы рекомендуем Вам руководствоваться следующим правилом: если программное обеспечение лицензионное, выпущено серийно и имеет широкое распространение, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют. В противном случае есть высокая  вероятность наличия недокументированных функций, способных нанести вред.

На основании указанных выше критериев определяется уровень защищенности ИСПДн. Для этого рекомендуем Вам воспользоваться формой приведенной ниже

Определение уровня защищенности