admin / 06.10.2018
Уровни защищенности персональных данных
Ликбез по персональным данным
Содержание
- № 11. Уровни защищенности персональных данных
- Установление уровней защищенности ПДн
- Создание системы защиты персональных данных
- Обследование информационных систем персональных данных
- Разработка концепции защиты персональных данных и выработка рекомендаций по оптимизации процессов обработки и защиты информации
- Определение уровня защищенности персональных данных
- Разработка модели угроз безопасности персональных данных и модели нарушителя
- Разработка Технического задания на создание системы защиты персональных данных
- Проектирование системы защиты персональных данных
- Разработка комплекта организационно-распорядительной документации
- Поставка средств защиты информации
- Установка и настройка средств защиты информации
- Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных
- Аттестация информационных систем персональных данных по требованиям безопасности информации
- 21 Приказ ФСТЭК: что делать оператору персональных данных?
- Уровни защищенности персональных данных вместо классов
- Как определить уровень защищенности информационных систем
- «БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ» (утв. 15.02.2008 ФСТЭК РФ)
- 5.1. Общая характеристика источников угроз несанкционированного доступа в информационной системе персональных данных
- Уровни защищенности персональных данных
- № 11. Уровни защищенности персональных данных
№ 11. Уровни защищенности персональных данных
Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.
Постановление Правительства № 1119 от 1 ноября 2012
Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.
Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.
Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:
1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;
2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;
3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа — иные категории ПДн, не представленные в трех предыдущих группах.
По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
- обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
- обработка персональных данных субъектов, не являющихся работниками вашей организации.
По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:
- менее 100 000 субъектов;
- более 100 000 субъектов;
К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы…
И наконец, типы актуальных угроз:
- угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
- угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
- угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.
Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.
Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:
В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.
Понравилось? Расскажите друзьям:
Установление уровней защищенности ПДн
Создание системы защиты персональных данных
Создание системы защиты персональных данных (СЗПДн) — это комплекс мер технического и организационного характера, направленных на защиту сведений, отнесенных в соответствии с Федеральным Законом от 27 июля 2006 г. N 152-ФЗ к персональным данным.
Каждая компания, обрабатывающая персональные данные, заинтересована в обеспечении безопасности их обработки. Необходимость построения систем защиты признают в равной степени и коммерческие организации, и государственные структуры.
На основании уже реализованных проектов по внедрению СЗПДн, можно выделить следующие преимущества:
Во-первых, это минимизация правовых и репутационных рисков, связанных с несоблюдением существующего законодательства в области персональных данных.
Во-вторых, грамотно построенная система защиты обеспечивает сохранность при обработке персональных данных клиентов и работников, что особенно важно при работе с частными лицами и информацией для служебного пользования.
К наиболее распространенным угрозам, которые нейтрализует СЗПДн, относятся воздействия вредоносных программ и воровство клиентских баз бывшими сотрудниками.
В-третьих, обеспечение конфиденциальности персональных данных в компании положительно сказывается на ее имидже, повышая доверие у клиентов и партнеров.
Многие компании при заключении партнерских отношений придают высокое значение мерам защиты информации, принятым в компаниях-контрагентах. Нередко одним из условий договора или тендера является документированное соответствие системы защиты персональных данных требованиям нормативных актов.
Система защиты персональных данных является средством поддержания непрерывности бизнеса, позволяющее компаниям продолжать свою деятельность, не опасаясь претензий со стороны клиентов, сотрудников и регулирующих органов.
Создание системы защиты персональных данных состоит из трех стадий, которые выполняются в несколько этапов:
 |
Обследование информационных систем персональных данных |
С Т А Д И Я 1 |
| Предпроектное обследование позволяет получить актуальную информацию процессах обработки и защиты персональных данных в компании, а также провести анализ соответствия имеющихся документов и мероприятий, проводимых в компании, нормативной базе в области защиты персональных данных. | ||
 |
Разработка концепции защиты персональных данных и выработка рекомендаций по оптимизации процессов обработки и защиты информации |
|
| Данный документ позволяет оценить варианты реализации проекта, установить отправные точки и ограничения внедрения проекта, проблемные вопросы и описания предлагаемых решений, а также перечень и стоимость предполагаемых к использованию технических и программных средств защиты информации. | ||
 |
Определение уровня защищенности персональных данных |
|
| Определяется тип угроз безопасности персональных данных, актуальных для информационной системы, а также состав персональных данных и количество субъектов персональных данных. На основании этой информации определяется уровень защищенности персональных данных. | ||
 |
Разработка модели угроз безопасности персональных данных и модели нарушителя |
|
| Документ содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Эти угрозы могут быть обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций, а также криминальных группировок, создающих условия (предпосылки) для нарушения безопасности персональных данных, которое ведет к ущербу жизненно важным интересам Общества, субъектов ПДн и государства. | ||
 |
Разработка Технического задания на создание системы защиты персональных данных |
|
| Частное техническое задание на создание системы защиты персональных данных для информационной системы, обрабатывающей персональные данные, определяет назначение, цели создания системы, требования к основным видам технического и организационного обеспечения, порядок разработки и внедрения СЗПДн. | ||
 |
Проектирование системы защиты персональных данных |
|
| Целью работы является разработка технического проекта на систему защиты информационных систем, обрабатывающих персональные данные, с учетом требований нормативных документов по защите персональных данных. | ||
 |
Разработка комплекта организационно-распорядительной документации |
|
| Комплект организационно-распорядительных документов, регламентирующих процессы обработки и защиты ПДн состоит из нескольких десятков документов, наличие которых требуется для приведения процессов организации обработки и защиты персональных данных в соответствие с действующим законодательством. | ||
 |
Поставка средств защиты информации |
С Т А Д И Я 2 |
| Поставка средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации. | ||
 |
Установка и настройка средств защиты информации |
|
| Установка и настройка средств защиты информации с условием обеспечения корректности функционирования информационной системы персональных данных и совместимостью выбранных средств защиты информации с программным обеспечением и техническими средствами информационной системы персональных данных. | ||
 |
Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных |
С Т А Д И Я 3 |
| Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных производится до ввода в эксплуатацию информационной системы персональных данных.
Указанная оценка проводится не реже одного раза в 3 года. Проводится для коммерческих организаций |
||
 |
Аттестация информационных систем персональных данных по требованиям безопасности информации |
|
| Аттестация информационной системы включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы требованиям безопасности информации. Проводится для государственных организаций. |
21 Приказ ФСТЭК: что делать оператору персональных данных?
28 мая на сайте ФСТЭК был выложен уже утвержденный Приказ №21 от 18 февраля 2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ №21).
Этот документ определяет состав и содержание организационно-технических мер по защите персональных данных, заменяя старый документ – Приказ ФСТЭК №58 от 5 февраля 2010 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ №58).
Без преувеличения можно сказать, что все ИБ-сообщество, затаив дыхание, ожидало выхода Приказа №21, который должен был внести ясность – чего регуляторы ждут от операторов? И вот документ утвержден и обязателен к исполнению, давайте его проанализируем.
Законодательство в сфере защиты персональных данных постоянно меняется, изначально состав организационно-технических мер регламентировался «четверокнижием». Затем в 2010 году был издан Приказ №58, который действовал еще в этом году до утверждения Приказа №21, о котором мы сегодня и поговорим. Почву для отмены Приказа №58 подготовило Постановление Правительства №1119 от 01 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которое в свою очередь отменило Постановление Правительства №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2007 г.
В Постановлении Правительства №1119 был введен новый процесс классификации информационных систем, вместо четырех классов (1К, 2К, 3К, 4К) появилось 4 уровня защищенности, тесно связанных с типами актуальных угроз. Операторам пришлось переклассифицировать свои системы, а вот каким образом их защищать было совершенно непонятно, т.к. в Приказе №58 говорилось о мерах защиты применительно к классам, а не уровням. Возникшее противоречие в законодательстве и исправил Приказ №21.
В сферу действия Приказа №21 не попадают защита государственной тайны и защита персональных данных с использованием криптографических средств2. Как и в Приказе №58 оператор может привлекать для защиты персональных данных организацию, имеющую лицензию на деятельность по технической защите конфиденциальной информации, либо выполнять работы самостоятельно. В Приказе №21, как и в его предшественнике, затронут вопрос о применении сертифицированных средств защиты информации.
Меры по обеспечению безопасности персональных данных реализуются, в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда, применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Далее в Приказе №21 приведены требования к классу защищенности при применении сертифицированных средств защиты информации.
Оценка актуальности угроз проводится оператором с учетом оценки возможного вреда субъекту персональных данных. Оценка эффективности применяемых мер проводится не реже, чем раз в три года самостоятельно, либо с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Далее в Приказе №21 дается полный перечень возможных защитных мер с их описанием.
В данный перечень входят:
Оператору предлагается определить список защитных мер следующим образом:
Этап 1. Определяем базовый набор мер защиты. В приложении к Приказу №21 приведена сводная таблица мер по обеспечению безопасности персональных данных. Рассмотрим работу с таблицей на примере следующей строки:
ИАФ.2 обозначает, что мера относится к классу мер «Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)» и является второй в списке мер этого класса. Во втором столбце дается описание меры – в нашем случае это идентификация и аутентификация устройств. Третий столбец разделен на 4 части, что соответствует 4 уровням защищенности.
Уровни защищенности персональных данных вместо классов
Знак «+» означает, что мера для данного уровня является базовой. Мера ИАФ.2 является базовой для 1 и 2 уровня. Для уровня 3 и 4 данная мера является необязательной и может применяться только для адаптации базового набора.
Итак, оператор на первом этапе должен выделить все меры, напротив которых стоит знак «+» в нужном ему столбце с номером уровня защищенности.
Этап 2. Адаптируем базовый набор мер под свою систему с учетом особенностей ее функционирования, исключаем те меры, которые связаны с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе. Например, для меры ИАФ.2 можно исключить идентификацию и аутентификацию портативных устройств, т.к. они не используются в информационной системе.
Этап 3. Уточняем список мер с учетом не выбранных ранее мер для нейтрализации актуальных угроз. На этом этапе мы можем включить меру ИАФ.2 в список мер для 3 и 4 уровня защищенности.
Этап 4. Добавляем меры, обеспечивающие выполнение требований к защите персональных данных, установленных иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации. Например, добавляем перечень мер, связанных с защитой криптографическими средствами.
Этап 5 (необязательный). Выбираем компенсирующие меры. Очень важным для оператора является оговоренная в документе возможность замены приведенного перечня мер на иные, если предлагаемые меры по техническим причинам невыполнимы, либо экономически нецелесообразны. Такая замена должна проводиться с обязательным обоснованием необходимости применения компенсирующих мер. При использовании новых технологий, для которых характерны угрозы, не рассмотренные в рамках Приказа №21, применение компенсирующих мер обязательно.
Проанализировав Приказ №21 можно сказать, что документ действительно вносит ясность в неразрешенные вопросы защиты персональных данных, некоторые его положения, в первую очередь самостоятельная оценка эффективности и применение компенсирующих мер, значительно облегчают жизнь операторам.
Daily.Sec.Ru (20.06.2013 в 13:57) | вверх страницы | к списку статей
Как определить уровень защищенности информационных систем
«БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ» (утв. 15.02.2008 ФСТЭК РФ)
5.1. Общая характеристика источников угроз несанкционированного доступа в информационной системе персональных данных
Источниками угроз НСД в ИСПДн могут быть:
нарушитель;
носитель вредоносной программы;
аппаратная закладка.
Угрозы безопасности ПДн, связанные с внедрением аппаратных закладок, определяются в соответствии с нормативными документами Федеральной службы безопасности Российской Федерации в установленном ею порядке.
По наличию права постоянного или разового доступа в контролируемую зону (КЗ) ИСПДн нарушители подразделяются на два типа:
нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, — внешние нарушители;
нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, — внутренние нарушители.
Внешними нарушителями могут быть:
разведывательные службы государств;
криминальные структуры;
конкуренты (конкурирующие организации);
недобросовестные партнеры;
внешние субъекты (физические лица).
Внешний нарушитель имеет следующие возможности:
осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений;
осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;
осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок;
осуществлять несанкционированный доступ через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны;
осуществлять несанкционированный доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИСПДн.
Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.
Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.
К первой категории относятся лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн.
Лицо этой категории может:
иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн;
располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;
располагать именами и вести выявление паролей зарегистрированных пользователей;
изменять конфигурацию технических средств ИСПДн, вносить в нее программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ИСПДн.
Ко второй категории относятся зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.
Лицо этой категории:
обладает всеми возможностями лиц первой категории;
знает, по меньшей мере, одно легальное имя доступа;
обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
располагает конфиденциальными данными, к которым имеет доступ.
Его доступ, аутентификация и права по доступу к некоторому подмножеству ПДн должны регламентироваться соответствующими правилами разграничения доступа.
К третьей категории относятся зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным информационным системам.
Лицо этой категории:
обладает всеми возможностями лиц первой и второй категорий;
располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системы, через которую осуществляется доступ, и о составе технических средств ИСПДн;
имеет возможность прямого (физического) доступа к фрагментам технических средств ИСПДн.
К четвертой категории относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн.
Лицо этой категории:
обладает всеми возможностями лиц предыдущих категорий;
обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте (фрагменте) ИСПДн;
обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИСПДн;
имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) ИСПДн;
имеет доступ ко всем техническим средствам сегмента (фрагмента) ИСПДн;
обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) ИСПДн.
К пятой категории относятся зарегистрированные пользователи с полномочиями системного администратора ИСПДн.
Лицо этой категории:
обладает всеми возможностями лиц предыдущих категорий;
обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
обладает полной информацией о технических средствах и конфигурации ИСПДн;
имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
обладает правами конфигурирования и административной настройки технических средств ИСПДн.
Системный администратор выполняет конфигурирование и управление программным обеспечением (ПО) и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации, мониторинга, регистрации, архивации, защиты от НСД.
К шестой категории относятся зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн.
Лицо этой категории:
обладает всеми возможностями лиц предыдущих категорий;
обладает полной информацией об ИСПДн;
имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
не имеет прав доступа к конфигурированию технических средств сети, за исключением контрольных (инспекционных).
Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей.
Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор.
К седьмой категории относятся программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте.
Лицо этой категории:
обладает информацией об алгоритмах и программах обработки информации на ИСПДн;
обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;
может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.
К восьмой категории относятся разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн.
Лицо этой категории:
обладает возможностями внесения закладок в технические средства ИСПДн на стадии их разработки, внедрения и сопровождения;
может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты информации в ИСПДн.
Указанные категории нарушителей должны учитываться при оценке возможностей реализации УБПДн.
Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа не ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются:
отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый винчестер и т.п.;
встроенные носители информации (винчестеры, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок, — видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т.п., микросхемы прямого доступа к памяти, шин передачи данных, портов ввода/вывода);
микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.).
Если вредоносная программа ассоциируется с какой-либо прикладной программой, с файлами, имеющими определенные расширения или иные атрибуты, с сообщениями, передаваемыми по сети, то ее носителями являются:
пакеты передаваемых по компьютерной сети сообщений;
файлы (текстовые, графические, исполняемые и т.д.).
Определение уровня защищенности ИСПДн
1 ноября утверждено постановление правительства №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
В соответствии с постановлением, требования по защите персональных данных в ИСПДн зависят от уровня защищенности ИСПДн.
Для определения уровня защищенности необходимо выделить ряд параметров ИСПДн, описанных ниже.
Все ИСПДн по категориям обрабатываемых данных делятся на:
— обрабатывающие специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни)
— обрабатывающие биометрические категории персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта)
— обрабатывающие иные персональных данных.
Кроме того отдельно выделяют системы, обрабатывающие общедоступные персональные данные (данные субъектов персональных данных, полученные только из общедоступных источников).
Также отдельно выделены информационные системы, обрабатывающие персональные данные только сотрудников оператора.
В постановлении приведены три типа актуальных угроз.
— 1 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (операционная система)
— 2 тип.
Уровни защищенности персональных данных
Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (программы обработки ПДн)
— 3 тип. Угрозы, не связанные с наличием недокументированных (недекларированных) возможностей
При этом в документе не дается указаний на способы выявления недекларированных возможностей программного обеспечения. Это привело к наличию различных точек зрения на этот вопрос.
Мы рекомендуем Вам руководствоваться следующим правилом: если программное обеспечение лицензионное, выпущено серийно и имеет широкое распространение, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют. В противном случае есть высокая вероятность наличия недокументированных функций, способных нанести вред.
На основании указанных выше критериев определяется уровень защищенности ИСПДн. Для этого рекомендуем Вам воспользоваться формой приведенной ниже
Определение уровня защищенности
№ 11. Уровни защищенности персональных данных
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
Определение требуемого уровня защищенности персональных данных при их обработке в информационных системах персональных данных осуществляется в соответствии с "Требованиями к защите персональных данных при их обработке в информационных системах персональных данных" (утв. постановлением Правительства РФ от 1 ноября 2012 г. N 1119)
Определяющие признаки при определении уровня защищенности персональных данных:
- категория обрабатываемых персональных данных:
- ИСПДн-С — специальные
- ИСПДн-Б — биомертические
- ИСПДн-О — общедоступные
- ИСПДн-И иные
- категория субъектов персональных данных (сотрудники оператора, не являющиеся сотрудниками оператора)
- актуальные угрозы безопасности персональных данных (угрозы 1-го, 2-го, 3-го типа)
- количестко субъектов персональных данных (менее 10 000, более 10 000)
Уровень защищенности персональных данных определяется в соответствии с таблицей:
|
Категория ПДн + кол-во |
АУ 1 типа |
АУ 2 типа |
АУ 3 типа |
|
ИСПДн-С более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
1 |
1 |
2 |
|
ИСПДн-С сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
1 |
2 |
3 |
|
ИСПДн-Б |
1 |
2 |
3 |
|
ИСПДн-И более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
1 |
2 |
3 |
|
ИСПДн-И данных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора |
1 |
3 |
4 |
|
ИСПДн-О более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
2 |
2 |
4 |
|
ИСПДн-О сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
2 |
3 |
4 |
FILED UNDER : IT
