Найти в Дзене
СПРР Технологии

Классификация ИСПДн. Как не получить "атата" от ФСТЭК

2
3 мин
Оглавление

Что такое ИСПДн?

Для начала определимся, что такое ИСПДн.

Информационная система персональных данных (ИСПДн) - это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Данное определение дает Федеральная служба по техническому и экспортному контролю России (далее - ФСТЭК России).

Обрабатывает персональные данные - оператор персональных данных

Согласно п. 2 ст. 3 Закона № 152-ФЗ, оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных.

Категорирование ИСПДн

Теперь перейдем к определению уровня защищенности ИСПДн. В ИСПДн определяется 4 уровня защищенности, где УЗ-1 самый высокий. Для определения УЗ существует следующий алгоритм действий:

  1. Определить категорию обрабатываемых персональных данных.
  2. Определить принадлежность субъектов персональных данных.
  3. Определение количества субъектов персональных данных.
  4. Определение типа актуальных угроз.

Рассмотрим отдельно каждый из них:

1. Определение категорий ПДн:

Существует всего 4 категории персональных данных - общедоступные, специальные, биометрические и иные.

Общедоступная категория включает - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн.

Специальная категория - это это сведения, которые касаются:

  • расовой или национальной принадлежности;
  • философских или религиозных убеждений;
  • политических взглядов;
  • состояния здоровья;
  • интимной жизни человека.

К биометрической категории относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Иная категория содержит в себе все данные, которые не вошли в первые три категории

2. Определение принадлежности субъектов ПДн

Все банально и просто, есть собственные и не собственные субъекты оператора ПДн. К собственным субъектам ПДн относятся сотрудники оператора ПДн, к несобственным - субъекты, не являющиеся сотрудниками оператора.

3. Определение количества субъектов ПДн

Тут все также очень и очень просто, количество определяется для тех субъектов ПДн, которые не являются сотрудниками оператора. Существует два варианта их количества:

  • больше 100 тысяч;
  • меньше 100 тысяч.

4. Определение типа актуальных угроз

Всего существует 3 типа угроз:

  • 1 тип - Угрозы, связанные с недекларированными возможностями в системном программном обеспечении;
  • 2 тип - Угрозы, связанные с недекларированными возможностями в прикладном программном обеспечении;
  • 3 тип - Угрозы, не связанные с недекларированными возможностями в системном и прикладном программном обеспечении.

Разберем что такое "недекларированные возможности". Как пишет ПАО Сбербанк:

Недекларированные возможности (НДВ) – функциональные возможности средств вычислительной техники и программного обеспечения, не описанные в документации или не соответствующие описанию.

Можно сказать, что все угрозы, которые возможны в не лицензированном ПО и не предусмотрены его производителем, грубо говоря - "бэкдоры".

Определение УЗ

Теперь на основе всех этих данных и алгоритма действий определим как выявлять уровень защищенности ИСПДн.

Уровень защищенности персональных данных (УЗ ПДн) - это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Для его быстрого определения существует следующая таблица:

Таблица определения уровня защищенности персональных данных
Таблица определения уровня защищенности персональных данных

Таким образом, очень легко определить УЗ для своей ИСПДн. Также УЗ ПДн легко определить в нашей системе поддержки и принятия решений "СППР система" (в стадии разработки).

А вот по поводу требований к ним поговорим в следующей статье. До встречи!

Автор статьи: СППР Технологии