комплексные системы безопасностиООО "РСКБ" г. Липецк
Советская 36, оф.403
тел.   8 (4742) 25-08-51
факс 8 (4742) 77-59-13

Контакты

г. Липецк, Советская 36, оф.403

8 (4742) 25-08-51
8 (4742) 37-63-21 в любое время
факс 8 (4742) 77-59-13
email: lip@rskb48.ru
схема проезда
Нормативные документы по защите информации Защита информации. Аттестация объектов информатизации Проверки на полиграфе

Новости по информационной безопасности

 
 

Уровни защищенности персональных данных вместо классов

Постановление Правительства РФ №1119 от 01.11.2012 г. похоронило уже ставшими всем привычными классы информационных систем персональных данных.

Вместо классов, согласно новому постановлению, устанавливаются четыре уровня защищённости персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищённости производится в зависимости от типа персональных данных, который обрабатывает информационная система, типа актуальных угроз, количества обрабатываемых информационной системой субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.

Информационные системы персональных данных (ИСПДн), согласно 5 пункту Постановления №1119 подразделяются на 4 группы:

  • Cпециальные ИСПДн

    если в ИСПДн обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

  • Биометрические ИСПДн

    если в ИСПДн обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;

  • Общедоступные ИСПДн

    если в ИСПДн обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных";

  • Иные ИСПДн

    если в ИСПДн обрабатываются персональные данные субъектов персональных данных, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами, обработка подразделяется на 2 вида:

  • обработка персональных данных сотрудников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся сотрудниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, Постановлением №1119 определены только 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано. Требования ПП-1119 не предлагают никаких методов и способов их нейтрализации. Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно - придется обращаться в вышестоящую организацию или к консультанту. Проще всего пойти по пути наименьшего сопротивления, т.е. определить тип актуальной угрозы 3 типа, и забыть про недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, но это необходимо будет обосновать. Весь вопрос как?, возвращаясь к началу абзаца.
Тема актуальности угроз информационных систем персональных данных очень важна, ведь от правильно описанных угроз зависит насколько грамотно будет защищена система, а также сколько будет стоить защита для оператора персональных данных.

Если Вы определились с исходными данными для конкретной ИСПДн, в том числе типом актуальных угроз, то можете определить её уровень защищенности. Для удобства определения уровня защищенности воспользуйтесь следующей таблицей, которая сделана на основе ПП-1119:

Тип ИСПДн

Сотрудники оператора

Количество субъектов

Тип актуальных угроз

1
(НДВ ОС)

2
(НДВ ПО)

3
(Без НДВ)

ИСПДн-С
(специальные)

Нет > 100 000 УЗ-1 УЗ-1 УЗ-2
Нет < 100 000 УЗ-1 УЗ-2 УЗ-3
Да

ИСПДн-Б
(биометрические)

УЗ-1 УЗ-2 УЗ-3

ИСПДн-И
(иные)

Нет > 100 000 УЗ-1 УЗ-2 УЗ-3
Нет < 100 000 УЗ-2 УЗ-3 УЗ-4
Да

ИСПДн-О
(общедоступные)

Нет > 100 000 УЗ-2 УЗ-2 УЗ-4
Нет < 100 000 УЗ-2 УЗ-3 УЗ-4
Да

В зависимости от выбранного уровня защищенности ПДн, ПП-1119 определены ряд требований по защите персональных данных, которые организуются и проводятся оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Контроль за выполнением требований должен проводиться не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

Требования

Уровни
защищенности

1

2

3

4

Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения + + + +
Обеспечение сохранности носителей персональных данных + + + +
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей + + + +
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз + + + +
Назначение должностного лица, ответственного за обеспечение безопасности персональных данных в ИСПДн + + + -
Ограничение доступа к содержанию электронного журнала сообщений + + - -
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе + - - -
Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности + - - -

Определившись с требованиями по защите персональных данных в соответствии с ПП-1119, можно переходить к выбору организационных и технических мер по обеспечению безопасности персональных данных, исходя из требований Приказа ФСТЭК России №21 от 18.02.2013г., направленных на нейтрализацию актуальных угроз безопасности персональных данных.

Что делать со средствами защиты информации, сетификаты на которые были выданы ранее для определённых классов ИСПДн?

В соответствии с информационным сообщением ФСТЭК России от 20 ноября 2012 г. N 240/24/4669 "Об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных", сертификаты соответствия, выданные ФСТЭК России до вступления в силу нормативного правового акта ФСТЭК России (имеется ввиду Приказ №21), устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, переоформлению не подлежат.
Cредства защиты информации, которые могут использоваться для защиты персональных данных, обрабатываемых в информационных системах персональных данных 1 класса, могут применяться для обеспечения защищенности персональных данных, обрабатываемых в информационных системах персональных данных, до 1 уровня включительно;
Cредства защиты информации, которые могут использоваться для защиты персональных данных, обрабатываемых в информационных системах персональных данных 2 класса, могут применяться для обеспечения 4 уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных.

Вы можете задать вопрос нашим специалистам или сделать заказ на выполнение работ из перечня предоставляемых услуг, заполнив следующую форму:

Ваше имя:

Ваш адрес электронной почты (для ответа):

Ваше сообщение:

Новости России и мира