Сколько уровней защищенности персональных данных
Содержание
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн.
Согласно Постановлению Правительства РФ №1119 для ИСПДн различают угрозы трех типов:
· Угрозы 1 типа — связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
· Угрозы 2 типа — связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
· Угрозы 3 типа — не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Согласно руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999), недекларированные возможности – это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Как правильно определить уровень защищенности ПДн, вы можете узнать из статьи: «Как определить уровень защищенности информационных систем» (https://kontur.ru/articles/1940).
Как спроектировать систему защиты персональных данных и выбрать необходимые средства защиты информации, можно ознакомиться в статье: «Практика. Создание системы защиты персональных данных» (https://kontur.ru/articles/1723).
Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.
Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.
Постановление Правительства № 1119 от 1 ноября 2012
Определение уровня защищенности персональных данных
Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.
Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:
1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;
2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;
3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа — иные категории ПДн, не представленные в трех предыдущих группах.
По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
- обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
- обработка персональных данных субъектов, не являющихся работниками вашей организации.
По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:
- менее 100 000 субъектов;
- более 100 000 субъектов;
К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы…
И наконец, типы актуальных угроз:
- угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
- угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
- угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.
Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.
Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:
В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.
Обзор законодательства
Согласно законодательству РФ, операторы персональных данных должны не только корректно обрабатывать информацию, но и надежно ее хранить. Чтобы корректно осуществлять обработку и хранение ПДн, оператору необходимо определить уровень защищенности информационной системы.
Уровни защищенности ПДн при их обработке установлены постановлением правительства РФ от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных«.
Как подобрать уровень защищенности персональных данных
Уровень защищенности персональных данных — это набор условий, которые, действуя в комплексе, нейтрализуют угрозу безопасности информационных систем персональных данных (ИСПДн).
Первый пункт, по которому стоит разделять отношения между организацией и субъектом обработки ПДн – форма взаимодействия. Она может быть:
— Трудовой – то есть, осуществляется обработка персональных данных сотрудников;
— Иной – осуществляется обработка данных, которые не являются работниками организации.
Второй – количество людей, персональные данные которых обрабатываются. Определены две категории:
— Менее 100 000 субъектов;
— Более 100 000 субъектов.
Типы актуальных угроз
Угроза 1 типа: наличие установленного незадекларированного программного обеспечения, у которого есть доступ к ПДн.
Угроза 2 типа: наличие прикладного ПО с незадекларированными возможностями, имеющего доступ к ПДн.
Угроза 3 типа: не связана с незадекларированными возможностями программного обеспечения.
Категории персональных данных
— Общедоступные – которые в неограниченном доступе представил сам субъект;
— Биометрические – характеризующие физиологические и биологические особенности человека;
— Специальные – информация о политических, религиозных и философских убеждениях, национальной и расовой принадлежности, данные о здоровье и интимной жизни;
— Иные – не попавшие не в одну из трех предыдущих категорий.
Какой тип защиты выбрать?
Рекомендаций по установлению типа актуальных угроз нет. Каждый оператор персональных данных определяет уровень защищенности в информационной системе самостоятельно. Чтобы правильно выбрать категорию, необходимо сопоставить все данные.
| Категория ПДн | Категория субъектов | Количество | Тип актуальных угроз | ||
| 1 тип | 2 тип | 3 тип | |||
| Общедоступные | Не сотрудники | Более 100 000 | УЗ 2 | УЗ 3 | УЗ 4 |
| Менее 100 000 | УЗ 2 | УЗ 3 | УЗ 4 | ||
| Сотрудники | Любое | УЗ 2 | УЗ 3 | УЗ 4 | |
| Биометрические | Не сотрудники | Более 100 000 | УЗ 1 | УЗ 2 | УЗ 3 |
| Менее 100 000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
| Сотрудники | Любое | УЗ 1 | УЗ 2 | УЗ 3 | |
| Специальные | Не сотрудники | Более 100 000 | УЗ 1 | УЗ 1 | УЗ 2 |
| Менее 100 000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
| Сотрудники | Любое | УЗ 1 | УЗ 2 | УЗ 3 | |
| Иные | Не сотрудники | Более 100 000 | УЗ 1 | УЗ 2 | УЗ 3 |
| Менее 100 000 | УЗ 1 | УЗ 3 | УЗ 4 | ||
| Сотрудники | Любое | УЗ 1 | УЗ 3 | УЗ 4 | |
После того, как уровень защищенности определен, оператору необходимо разработать меры по защите персональных данных самостоятельно, либо с привлечением подрядчиков. Требования по защите персональных данных обозначены в приказе №21 ФСТЭК России от 18 февраля 2013 года.
Работоспособность системы проверяется раз в три года.
Уровень защиты рекомендуется выбирать в соответствии с потребностями системы. Завышение приводит к увеличению стоимости системы и увеличению количества ненужных технических и организационных мер. Занижение уровня защищенности ПДн является нарушением.
Определение уровня защищенности ИСПДн
1 ноября утверждено постановление правительства №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
В соответствии с постановлением, требования по защите персональных данных в ИСПДн зависят от уровня защищенности ИСПДн.
Для определения уровня защищенности необходимо выделить ряд параметров ИСПДн, описанных ниже.
Все ИСПДн по категориям обрабатываемых данных делятся на:
— обрабатывающие специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни)
— обрабатывающие биометрические категории персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта)
— обрабатывающие иные персональных данных.
Кроме того отдельно выделяют системы, обрабатывающие общедоступные персональные данные (данные субъектов персональных данных, полученные только из общедоступных источников).
Также отдельно выделены информационные системы, обрабатывающие персональные данные только сотрудников оператора.
В постановлении приведены три типа актуальных угроз.
— 1 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (операционная система)
— 2 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (программы обработки ПДн)
— 3 тип. Угрозы, не связанные с наличием недокументированных (недекларированных) возможностей
При этом в документе не дается указаний на способы выявления недекларированных возможностей программного обеспечения. Это привело к наличию различных точек зрения на этот вопрос.
Мы рекомендуем Вам руководствоваться следующим правилом: если программное обеспечение лицензионное, выпущено серийно и имеет широкое распространение, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют. В противном случае есть высокая вероятность наличия недокументированных функций, способных нанести вред.
На основании указанных выше критериев определяется уровень защищенности ИСПДн. Для этого рекомендуем Вам воспользоваться формой приведенной ниже
