Классификация информационных систем персональных данных(ИСПДн)

Согласно постановлению правительства РФ от 1 ноября 2012 г. N 1119, установлены требования к защите персональных данных при их обработке в информационных системах, и введены 3 типа актуальных угроз от которых зависит требуемый уровень защищенности.

Под актуальными угрозами понимаются условия и факторы, создающие опасность несанкционированного доступа к персональным данным(в том числе случайного), в результате которого данные могут быть уничтожены, изменены, блокированы, копированы, предоставлены или распространены.

Угрозы 1-го типа - угрозы, связанные с наличием недокументированных возможностей в используемом системном программном обеспечении.

Угрозы 2-го типа - актуальны угрозы, связанные с наличием недокументированных возможностей в используемом прикладном программном обеспечении.

Угрозы 3-го типа - актуальны угрозы, не связанные с наличием недокументированных возможностей в используемом системном и прикладном программном обеспечении.

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности.

Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

  1. организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  2. обеспечение сохранности носителей персональных данных;
  3. утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  4. использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 4-ого уровня защищенности необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 3-ого уровня защищенности, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных 2-ого уровня защищенности, необходимо выполнение следующих требований:

  1. автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным;
  2. создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Соотношение типа угроз/уровня защищенности/и типа обрабатываемой информации

Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа
4 уровень защищенности Информационная система обрабатывает:
  • общедоступные персональные данные
  • иные категории персональных данных сотрудников оператора
  • иные категории персональных данных лиц, не являющихся сотрудниками (менее чем 100000 субъектов).
3 уровень защищенности Информационная система обрабатывает:
  • общедоступные персональные данные сотрудников
  • общедоступные персональные данные лиц, не являющихся сотрудниками (менее чем 100000 субъектов)
  • иные категории персональных данных сотрудников
  • иные категории персональных данных лиц, не являющихся сотрудниками (менее чем 100000 субъектов).
Информационная система обрабатывает:
  • биометрические персональные данные
  • иные категории персональных данных лиц, не являющихся сотрудниками (более чем 100000 субъектов).
2 уровень защищенности Информационная система обрабатывает:
  • общедоступные персональные данные.
Информационная система обрабатывает:
  • специальные категории персональных данных сотрудников оператора
  • специальные категории персональных данных лиц, не являющихся сотрудниками (менее чем 100000 субъектов)
  • иные категории персональных данных лиц, не являющихся сотрудниками (менее чем 100000 субъектов).
Информационная система обрабатывает:
  • специальные категории персональных данных лиц, не являющихся сотрудниками (более чем 100000 субъектов).
1 уровень защищенности Информационная система обрабатывает:
  • либо специальные категории персональных данных
  • биометрические персональные данные
  • иные категории персональных данных.
Информационная система обрабатывает:
  • специальные категории персональных данных лиц, не являющихся сотрудниками (более чем 100000 субъектов).

Назад

Отправлено

Спасибо, ваша заявка принята.