Защита персональных данных – ключевая задача любой компании. Игнорирование требований законодательства грозит крупными штрафами и подорванным доверием клиентов. Так, только за 2024 год Роскомнадзор зарегистрировал 135 утечек ПДн: в сеть попало свыше 710 млн записей о гражданах. Эти цифры показывают, почему оценка защищенности ПДн должна стать регулярной практикой для организаций: верно определённый уровень защищенности ПДн позволяет заранее сформировать адекватный комплекс мер и минимизировать риск инцидентов.
Нормативная база и ключевые критерии
Определение уровня защищенности ПДн в России регламентируется ФЗ-152 «О персональных данных» и подзаконными актами. Основополагающими документами являются:
- Федеральный закон №152-ФЗ – вводит понятие персональных данных и обязывает оператора обеспечивать их безопасность;
- Постановление Правительства РФ №1119 – устанавливает требования к защите персональных данных при их обработке в информационных системах;
- Приказ ФСТЭК России №21 – устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных для каждого из уровней защищенности;
- Постановление Правительства РФ №211 – регламентирует перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".
Ключевым документом является ПП №1119, согласно которому вводятся четыре уровня защиты ПДн (УЗ‑1 – наивысший, УЗ‑4 – минимальный), каждому из которых соответствует свой набор требований. Эти уровни назначаются на основании анализа нескольких факторов.
Главными критериями при выборе уровня защиты персональных данных являются сами характеристики обрабатываемой информации и условия ее обработки: в первую очередь это категория данных — обычные, специальные (чувствительные) или биометрические ПДн, причём биометрическая информация требует значительно более строгих мер защиты.
Важен и объем обрабатываемых данных — число субъектов (например, до 100 000 или свыше 100 000 человек) — поскольку масштаб обработки влияет на последствия инцидента.
Значимыми факторами также выступают актуальные типы угроз (по классификации ФСТЭК выделяют угрозы, связанные с уязвимостями системного ПО, уязвимостями прикладного ПО и прочие угрозы) и наличие подключения к сетям общего пользования — выход в интернет или к другим публичным сетям многократно повышает риск и может требовать более высокого уровня защиты.
Корректное определение каждого из этих показателей — обязательный шаг к объективной оценке: даже при небольшой базе, но при обработке специальных или биометрических данных, нормативные требования к защите будут строже.
Практическая методика оценки
Приступая к определению уровня защищенности, операторы следуют практической методике. Общие шаги включают:
- Аудит данных и инфраструктуры. При выполнении аудита ПДн сначала проводится инвентаризация: какие личные данные обрабатываются и в каком объеме, какова архитектура ИСПДн (сети, серверы, доступы). Особое внимание – категориям ПДн (обычные/специальные/биометрические) и факту подключения к интернету.
- Выявление потенциальных угроз. Составляется предварительный перечень всех возможных угроз безопасности для данного ИСПДн – от внешнего несанкционированного доступа до утечки через сотрудников или технические сбои. Эксперты опираются на типовые списки угроз (например, по методике ФСТЭК) и специфичную информацию о бизнесе.
- Оценка вероятности и опасности угроз. Каждой угрозе присваиваются уровни вероятности реализации (низкая, средняя, высокая) и потенциальной опасности (низкая, средняя, высокая). Например, низкая вероятность означает, что существуют объективные преграды на пути реализации угрозы (напр., физическая изолированность), а высокая – мер не принято или они недостаточны. Аналогично, опасность отражает тяжесть негативных последствий для субъектов данных.
- Отбор актуальных угроз. С помощью специальных правил (см. таблицу 2 методики ФСТЭК) определяют, какие угрозы считать «актуальными» для ИСПДн. Как показывает методика, угроза считается актуальной, если хотя бы вероятность или опасность ее реализации достигает высоких значений. Например, даже при средней вероятности, но высокой потенциальной опасности угроза становится актуальной. А при низкой вероятности и низкой опасности – актуальность отсутствует.
- Определение уровня защищенности. После этого сравнивают выявленные параметры с требованиями нормативных актов. Уровень УЗ присваивается исходя из категории данных, числа субъектов и типа актуальных угроз. Например, если обрабатываются биометрические ПДн и выявлена угроза 1-го типа, по нормам может потребоваться УЗ-1. Итоговый уровень закрепляется в акте классификации ИСПДн.
Таким образом, практическая методика – это систематическая работа: от сбора фактических данных и идентификации угроз до формализации результата. Чем тщательнее и глубже проведен аудит, тем точнее будет определен уровень и тем эффективнее впоследствии выстроены меры защиты.
Таблица оценки рисков
Для наглядности можно привести примерную таблицу оценки рисков при обработке персональных данных. Такая таблица рисков ПДн помогает визуально сопоставить угрозы и увидеть, какие из них требуют приоритетной реакции. Ниже — упрощённая таблица рисков ПДн, которую можно использовать как шаблон при оценке:
В этой таблице каждая строка – отдельная угроза. Столбец «Вероятность» иллюстрирует вероятность ее реализации (низкая/средняя/высокая), «Опасность» – потенциальный вред (низкая/средняя/высокая). Последний столбец – итоговая оценка уровня риска. Угрозы с очень высокой совокупной оценкой требуют безотлагательных мер по снижению риска.
Подобные таблицы могут быть разной детализации и структуры, но идея всегда одна: ранжировать угрозы по важности и обеспечить прозрачный выбор мер защиты. Фактически, такие оценки лежат в основе выбора мер по приказу ФСТЭК №21 и Постановлению №1119: чем выше риск, тем строже требования.
Практические рекомендации
Важно сразу документировать и классифицировать персональные данные: фиксировать категории и объемы обработки, отдельно отмечать специальные и биометрические данные, для которых требования безопасности строже.
Параллельно следует наладить регулярную оценку угроз — проводить периодические аудиты, ревизию перечня актуальных угроз и проверку реализованных мер. Методики предписывают пересматривать список угроз не реже одного раза в три года или при изменении условий обработки.
Оценка уровня защищенности не должна превращаться в формальную «галочку» — это системный процесс, в котором используются рекомендованные нормативами методики, расчёт коэффициентов реализуемости угроз и экспертная оценка опасности, чтобы обоснованно присвоить уровень защищенности и выбрать соответствующие меры.
Для каждого уровня защиты предписан комплекс технических и организационных мероприятий: от оформления приказов и инструкций до внедрения шифрования, контроля доступа и мониторинга — важно, чтобы после классификации ИСПДн все распоряжения были согласованы, а меры реально реализованы. Такая методика помогает найти баланс между избыточной и недостаточной защитой, упорядочивает работу и снижает риск как штрафов за недоработки, так и лишних затрат.
Решение от МАСО
Обучение по информационной безопасности и обучение по защите персональных данных в МАСО — это практические знания, официальные документы и доступная цена. Наши программы соответствуют требованиям ФСТЭК, аккредитованы и вносятся в ФИС ФРДО.
В МАСО доступно 10 программ по информационной безопасности, и мы поможем выбрать ту, которая идеально подойдет задачам вашей организации. Оставьте заявку на сайте – и наш менеджер свяжется с вами для уточнения деталей.
