Классы и уровни защиты ИСПДН

Необходимость защиты персональных данных и постоянный их сбор различными сервисами привел к разработке нормативно-правовой базы, включающей перечень требований к операторам, которые хранят у себя подобные сведения. Сегодня информационные системы разнообразны и очень сильно отличаются, что привело к необходимости классифицировать уровень защиты ИСПДН (информационная система персональных данных). Фактически он представляет комплексный показатель, который определяет реальную эффективность нейтрализации угроз безопасности и предупреждает утечки данных.

К числу актуальных угроз в сфере безопасности личных конфиденциальный данных относят случайный либо намеренный несанкционированный доступ, который может привести к корректировке, фальсификации, блокированию или обнародованию подобных данных. Источниками проблем могут стать:

• недокументированные возможности используемого ПО для ИСПДН
• возможности иного прикладного ПО;
• умышленные действия со стороны пользователя и так далее.

Разновидности типов данных

К основным типа персональной информации физического лица относятся ФИО, дата его рождения и место регистрации, уровень образования и другие данные. Подобная информация хранится в инфосистемах муниципальных и государственных органах, юридических и физических лиц, выступающих в качестве оператора. Все виды персональных данных делят на четыре категории:

• биометрические, позволяющие идентифицировать личность человека;
• специальные, включающие политические предпочтения, принадлежностью к религиозной конфессии и другую информацию;
• общедоступные, которые могут быть найдены через легкодоступные источники;
• иные данные, не подпадающие под перечисленные три группы.

Типы классов защиты ИСПДН

Законодательство сегодня описывает четыре уровня защиты подобной информации:

• 4-й класс – инфосистемы, взлом которых и утечка информации из них не приведет к каким-либо отрицательным последствиям для владельцев подобных данных;
• 3-й класс – системы данных, взлом которых может привести не небольшим негативным результатам для владельцев подобных сведений;
• 2-й класс – системы или данные, нарушение тайны которых может привести к серьезным последствиям для владельцев подобной информации;
• 1-й класс – инфосистемы, нарушение тайны которых может привести к серьезным негативным последствиям для отдельных субъектов.

Определение класса защиты ИСПДН идет на основе анализа категорий персональных данных, которые обрабатываются, и их объема. По первому показателю также определяют 4 типа:

• 4-я категория – все данные находятся в обезличенном или общедоступном формате;
• 3-я категория – хранящиеся данные позволяют определить по ним конкретного субъекта;
• 2-я категория – информация позволяет не только идентифицировать конкретное физическое лицо, но и получить о нем какие-либо дополнительные данные за исключением тех, которые относятся к 1-й категории;
• 1-я категория – личные данные, касающиеся состояния здоровья, личной жизни, каких-либо убеждений, национальной и расовой принадлежности.

По объему все варианты делят на три класса:

• 3-й объем – обработка единовременно персональных данных не более 1000 субъектов в рамках одной организации;
• 2-й объем – обработка единовременно личных сведений о не более, чем 100 000 субъектов, которые работают в одной отрасли, зарегистрированы в рамках одного региона или муниципалитета;
• 1-й объем – обработка сведения одновременно о 100 000+ субъектах.

На основе этих параметров определяется конкретный класс защиты ИСПДН, который должен быть обеспечен при хранении информации.

Особенности работы предприятия для защиты ИСПДН

Конкретный перечень действий зависит от установленного класса защиты. Для всех из них необходимо обеспечить:

• ограничение доступа посторонним в места обработки данных;
• сохранность всех носителей информации и резервирование данных;
• формирование и поддержание в актуальном состоянии перечня работников, имеющих доступ к системе ИСПДН;
• использование только лицензированного и сертифицированного в России ПО.

Для третьего класса защищенности обязательно назначение ответственного сотрудника, который будет следить за соблюдением действующих требований по защите личных данных, а для 2-го дополнительно понадобится ввести ограничение по доступности журнала сообщений. Наибольшие требования предъявляются при установлении 1-го класса защищенности, где надо организовать отдел по работе в сфере безопасности и делать автоматические записи в журнал безопасности при изменении полномочий конкретного сотрудника.

После установки конкретного уровня защиты ИСПДН происходит подбор программного обеспечения, выполнения технических или организационных мер, которые предотвратят утечку информации. Выполнять подобные работы может как само предприятие, так и привлеченные по договорам физические и юридические лица, имеющие лицензии на оказание подобных услуг. Дополнительно не менее раза в три года проводят проверку соблюдения правил безопасности в сфере защиты персональных данных.