Рівні захищеності персональних даних: вимоги та особливості

Зміст

Персональні дані-інформація, розкриття якої може завдати шкоди особі, особисті відомості якої раптом стали відомі. Крім того, розголошення подібних даних, навмисне або випадково, вводить певну міру відповідальності для тієї особи, хто розсекретив таку інформацію.

Тому особисті дані потребують певного роду захисту. Який саме? Це встановлюється за рівнями захищеності персональних даних. Якими вони бувають, які тут введені класифікації, які найважливіші вимоги для кожного рівня, ми розглянемо в даній статті.

Законодавче регулювання

Рівні захищеності персональних даних були встановлені Постановою Уряду № 1119 (2012). Вони замінили замінили собою класи інформаційних систем у сфері персональних, особистих даних.

Таким чином, було введено 4 рівня захищеності персональних даних для їх обробки в інформаційних системах. Постанова також встановлювала вимоги до кожного з них.

На підставі чого інформаційні системи можливо віднести до того чи іншого рівня захищеності? Перш за все, треба спиратися на тип персональної інформації, яку обробляє така інформаційна система, різновид актуальних загроз, а також кількість суб`єктів особистих даних, що обробляється безпосередньо в даній системі. Важливий і факт, персональні відомості якого контингенту обробляються в певному випадку.

Рівень

Як розібратися з Рівнями захищеності персональних даних? Потрібно звернутися до п. 5 вищевказаної постанови № 1119. Тут виділяється чотири категорії:

  • 1 рівень захищеності персональних даних. Це спеціальні Іспдн (розшифровка скорочення-інформаційні системи персональних даних). Що тут обробляється? Інформація, що стосується національної, расової приналежності тієї чи іншої особи, її політичних поглядів, філософських переконань, релігійні погляди, стан здоров`я, подробиці інтимного життя.
  • 2 рівень захищеності персональних даних. Сюди входять вже біометричні Іспдн. У таких системах будуть оброблятися відомості, які характеризують біологічні, фізіологічні особливості громадянина. На їх підставі цілком можливо визначити особистість цієї людини. Вони і використовуються оператором для встановлення особи певного суб`єкта персональних відомостей. В даному ключі не повинні оброблятися дані, які відносяться до спеціальних (тобто, до першого рівня захищеності).
  • 3 рівень захищеності персональних даних. Це загальнодоступні Іспдн. Як це розуміти? Тут обробляються особисті відомості про суб`єктів персональної інформації, отримані тільки із загальнодоступних джерел. Останні повинні бути створені в суворій відповідності зі ст. 8 ФЗ "Про персональні дані".
  • 4 рівень захищеності персональних даних. Це Інші Іспдн. Тобто, до рівня відносяться ті інформаційні системи, які не позначені в попередніх трьох рівнях.
3 рівень захищеності персональних даних

Форма відносин

Як розібратися з Рівнями захищеності персональних даних? Потрібно звернутися до класифікації, представленої вище.

Крім того, обробка персональної інформації буде відрізнятися і за формою відносин між організацією, що використовує Іспдн, суб`єктом персональних відомостей. Тут два типи подібних відносин:

  • Обробка особистої інформації співробітників (таких суб`єктів, які пов`язані з цією організацією службовими, трудовими відносинами).
  • Обробка персональних даних тих осіб, які не постають співробітниками даної організації.

Кількість суб`єктів

Визначення рівня захищеності персональних даних проводиться на основі першої класифікації в статті. Однак Постанова Уряду № 1119 представляє 2 категорії Іспдн - за кількістю суб`єктів, чия особиста інформація обробляється в такій системі.

Тут виділяється тільки дві групи:

  • Менше 100 тисяч суб`єктів.
  • Понад 100 тисяч суб`єктів.
акт визначення рівня захищеності персональних даних

Класифікація по виду актуальних загроз

Виділяється тільки чотири рівні захищеності інформаційної системи персональних даних. Крім них, Постанова № 1119 розділяє Іспдн за типами актуальних загроз, з якими там можна зіткнутися при обробці особистих даних суб`єктів:

  • Перший тип загроз. Вони пов`язані з наявністю певних недокументованих, недекларованих можливостей, що існують у програмному забезпеченні, що використовується в інформаційній системі.
  • Другий тип загроз. Наявність будь-якого ряду недекларованих можливостей в прикладному ПО, безпосередньо застосовується в Іспдн.
  • Третій тип загроз. Наявність будь-яких недокументованих можливостей в ПЗ, що використовується в Іспдн.

Проблеми застосування Класифікації

Ми познайомилися з актом визначення рівня захищеності персональних даних. Але цей документ все ж залишає після прочитання багато і невирішених питань. Найприкріші його прогалини:

  • Документ не регламентує установку типу актуальних загроз. Також вимоги ПП № 1119 не пропонують будь-яких способів і методик їх нейтралізації.
  • Раніше у операторів була можливість вибрати класифікацію спеціальної або типової Іспдн по опису моделі загроза. Сьогодні такої можливості не існує.
  • Так як рівень захищеності в даний час визначається виходячи з актуальності існуючих загроз, оператор системи не завжди може провести подібну процедуру самостійно. Йому необхідно буде звертатися за допомогою до консультанта, у вищестоящу інстанцію та ін.

Яка кількість рівнів захищеності персональних даних виділено сьогодні в Росії? Чотири. У зв`язку з усіма визначеними складнощами, оператори на практиці прагнуть піти по шляху найменшого опору. Тобто, визначають для будь-якої загрози 3-й тип, де не потрібно вивчати недекларовані можливості системного і прикладного ПЗ, використовуваного для інформаційної системи.

, як визначити рівень захищеності персональних даних

Необхідні вимоги

Ми розібрали, як визначити рівень захищеності персональних даних. Кожен з них повинен відповідати вимогам, пред`явленим до нього в постанові уряду № 1119. Перерахуємо їх:

  • Встановлення спецрежиму забезпечення безпеки приміщень, в яких розташовуються інформаційні системи. Зокрема, він повинен перешкоджати неконтрольованому перебуванню, проникненню в ці простори осіб, яким не надано право такого доступу. Вимога обов`язково для всіх рівнів.
  • Забезпечення повного збереження носіїв персональної інформації. Вимога обов`язково для всіх рівнів.
  • Затвердження керівництвом оператора документації, що визначає список осіб, яким необхідний доступ до персональних відомостей, що обробляються в інформаційній системі, для виконання власних трудових обов`язків і службових завдань. Вимога обов`язково для всіх рівнів.
  • Використання таких засобів і методик захисту інформації, які пройшли через заходи оцінки відповідності вимогам російського законодавства у сфері забезпечення безпеки особистих даних. У таких випадках, коли використання подібних засобів необхідно для нейтралізації, усунення актуальних загроз. Вимога обов`язково для всіх рівнів.
  • Призначення посадової особи, яка буде відповідально за забезпечення безпеки персональної інформації в Іспдн. Вимога обов`язкова для 1, 2, 3 рівня.
  • Обмеження доступу осіб до змісту журналів електронних месенджерів. Вимога обов`язково для 1 і 2 рівня.
  • Проведення автоматичної реєстрації в електронному журналі безпеки різних змін повноважень співробітників оператора щодо доступу до персональної інформації, яка міститься в системі. Вимога обов`язково для 1 рівня.
  • Створення спеціального структурного підрозділу, який буде відповідальним за забезпечення безпеки особистих даних в інформаційній системі. Як варіант-покладання подібних функцій щодо забезпечення безпеки на одне з уже існуючих відділень організації. Вимога обов`язково для 1 рівня.
рівень захищеності інформаційної системи персональних даних

Захист типових систем

Візьмемо найчастіший приклад-медичні організації. У більшості з них встановлені типові Іспдн. Зокрема, вони використовуються для обліку кадрів, розрахунку розміру оплати праці.

Суб`єктами обробки персональної інформації тут виступають співробітники медустанов. Мета обробки особистих даних в такому випадку-забезпечення дотримання щодо кожного з трудящих законодавства в області трудових та іншого роду відносин з ним.

Відповідно, в подібних інфосистемах не ведеться обробка ні спеціальних, ні біометричних типів персональної інформації. Значить, рівень захищеності даних тут треба визначати тільки за типом актуальних загроз безпеки, виявлених щодо цієї інформаційної системи.

Що стосується більшості випадків, для подібних систем є нагальними загрози, не пов`язані з наявністю недекларованих (або ж недокументованих) можливостей як в прикладному, так і в системному ПЗ. Звідси випливає, що оператору потрібно забезпечити тільки четвертий рівень захищеності персональної інформації. Іншими словами, необхідно втілити в життя самий мінімальний комплекс технічних і організаційних заходів.

визначення рівня захищеності персональних даних

Інформаційні системи федерального рівня

Тепер звернемося до більш глобального прикладу в тій же російській медичній сфері. Це ФРМР (розшифровка-Федеральний регістр медпрацівників) - система, чиє призначення полягає в зборі, зберіганні, обробки інформації обліку вітчизняного медичного персоналу суб`єктів РФ. Федеральний регістр також використовується для контролю розміщення, переміщень по службі даних медсотрудніков.

Подібності та відмінності

Але, як і в менш складної Інфосистеми, описаної вище, тут не ведеться обробка спеціальної або біометричної персональної інформації про громадян. Відповідно, характеристики ФРМР і ІС звичайних медичних організацій в даній сфері схожі. Для Федерального регістра потрібно забезпечити такий же рівень захищеності відомостей-четвертий.

Хоч категорії суб`єктів ІС, оброблювані відомості в обох системах майже що аналогічні, фахівці не радять їх об`єднувати в одну. Чому? Вся справа в різних цілях. У першому випадку система створюється для виконання приписів Трудового кодексу. У другому - для дотримання вимогою МОЗ.

як розібратися з Рівнями захищеності персональних даних

Завдання медичних Іспдн

Подібні Іспдн покликані вирішити ряд завдань:

  • Можливість відкриття електронної реєстратури, ведення електронних амбулаторних карт.
  • Обробка даних меддосліджень в цифровому поданні.
  • Збір і зберігання інформації з моніторингу стану хворих, знятої з медичних приладів.
  • Один із засобів спілкування між медичними працівниками.
  • Аналіз як фінансової, так і адміністративної інформації.

Звичайно, щоб ці завдання був успішно втілені, необхідно правильно організувати захищеність Іспдн.

Важливі фактори

Таким чином, щоб зупинитися на відповідному рівні захищеності медичних Іспдн, оператору системи потрібно звернути увагу на два важливих фактори:

  1. В Інфосистеми можуть оброблятися спеціальні особисті дані-діагноз, поточний стан здоров`я, показання медичних приладів та ін.
  2. Суб`єктами Іспдн тут можуть бути не тільки співробітники медичного закладу, а й пацієнти організації.

Якщо кількість суб`єктів такої Інфосистеми велике, якщо знайдений певний тип актуальних загроз, то потрібно зупинитися на 1-му або 2-му рівні захищеності персональних відомостей.

рівні захищеності персональних даних

Ми познайомилися з Рівнями захищеності особистої інформації, важливими характеристиками для них. Розглянули на прикладах, як потрібно обирати правильний такий рівень, на які законодавчі акти при цьому спиратися.

Статті на тему
Рівні захисту інформації: поняття, основні принципи, аналіз ризиків та їх усунення Рівні захисту інформації: поняття, основні принципи, аналіз ризиків та їх усунення
Андроїд x86: особливості та системні вимоги Андроїд x86: особливості та системні вимоги
Класифікація бд: варіанти, моделі даних і основні характеристики Класифікація бд: варіанти, моделі даних і основні характеристики
Як перевстановити windows 10 без втрати даних: три простих способи Як перевстановити windows 10 без втрати даних: три простих способи
Рівні моделі osi. Рівень додатків Рівні моделі osi. Рівень додатків
Що таке первинна документація в бухгалтерії? Визначення, види, особливості та вимоги до заповнення Що таке первинна документація в бухгалтерії? Визначення, види, особливості та вимоги до заповнення
Матеріальна підтримка: особливості, вимоги та види Матеріальна підтримка: особливості, вимоги та види
Csc-що це? Про технології, її функції та особливості Csc-що це? Про технології, її функції та особливості
Nosql, бази даних: огляд, приклади та сфери застосування Nosql, бази даних: огляд, приклади та сфери застосування