Реализация режима обеспечения безопасности помещений где размещается испдн
Обновлено: 28.06.2024
ИСПДн – это информационная система персональных данных.
Она представляет собой систему из набора персональных данных (далее – ПДн), который располагается в базе данных (далее – БД), а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Она может производиться с использованием средств вычислительной техники, либо же без их использования, то есть вручную оператором.
- Оператором является организация, которая обрабатывает данные субъекта.
- Субъект – это человек, который предоставляет персональные сведения о себе.
Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора.
ИСПДн на примере
Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной информационной системе будет располагаться БД персональных данных действующих и уволенных сотрудников. В данную систему будут входить все средства, которые способствуют обработке этих данных. Например АРМы, серверы, программное обеспечение, применяемые средства защиты информации.
Классификация и типы ИСПДн
Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению:
Типы ИСПДн
Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы ИС, которые обрабатывают ПДн, относящиеся к следующим категориям:
- специальные;
- биометрические;
- общедоступные;
- иные;
- персональные данные сотрудников.
Актуальные угрозы ИСПДн
После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы:
- первого типа;
- второго типа;
- третьего типа.
К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
Уровни защищенности ИСПДн
Существует четыре уровня защищенности.
Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов:
- чьи персональные данные обрабатываются (работников или не работников);
- количество субъектов ПДн.
Составим таблицу определения уровня защищенности ИСПДн согласно ПП №1119.
| Категория ПДн | Отношение субъекта ПДн к оператору | Количество ПДн | Актуальные угрозы | ||
| У 1 | У 2 | У 3 | |||
| специальные | не сотрудник | более 100000 | УЗ 1 | УЗ 1 | УЗ 2 |
| менее 100000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
| сотрудник | нет ограничений | УЗ 1 | УЗ 2 | УЗ 3 | |
| биологические | не сотрудник | более 100000 | УЗ 1 | УЗ 2 | УЗ 3 |
| менее 100000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
| сотрудник | нет ограничений | УЗ 1 | УЗ 2 | УЗ 3 | |
| общедоступные | не сотрудник | более 100000 | УЗ 2 | УЗ 2 | УЗ 4 |
| менее 100000 | УЗ 2 | УЗ 3 | УЗ 4 | ||
| сотрудник | нет ограничений | УЗ 2 | УЗ 3 | УЗ 4 | |
| иные | не сотрудник | более 100000 | УЗ 1 | УЗ 2 | УЗ 3 |
| менее 100000 | УЗ 1 | УЗ 3 | УЗ 4 | ||
| сотрудник | нет ограничений | УЗ 1 | УЗ 3 | УЗ 4 | |
ИСПДн: основные моменты
Чтобы определить, как именно защищать вашу ИС, в которой обрабатываются персональные данные ваших сотрудников или клиентов, необходимо определить уровень защищенности. Для этого нужно знать следующее:
- какие персональные данные обрабатываются и с помощью этого выделить тип ИС;
- угрозы, актуальные для вашей ИС;
- количество обрабатываемых данных
- кем является субъект предоставляемых данных (работником или не работником).
Зная все эти сведения, можно легко установить уровень защищенности вашей ИС. Меры для обеспечения всех вышеприведенных уровней защищенности определены в законодательных документах.
Читайте также:
- Кто является ответственным за правильное сцепление локомотива с первым вагоном поезда
- Что такое зп в паспорте
- Кто осуществляет нормотворческую деятельность
- Что не относилось к источникам древнерусского права
- Обязан ли психолог сообщить властям что родители его клиента являются незаконными иммигрантами