Классификация информационных систем персональных данных

Информационная система персональных данных (ИСПДн) — это совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, обеспечивающих их обработку. Определение дано в ст. 3 закона 152-ФЗ.

Примеры ИСПДн: система кадрового учёта (1С:ЗУП), CRM-система с данными клиентов, бухгалтерская система с данными контрагентов, сайт с формой обратной связи, система видеонаблюдения с идентификацией лиц.

Каждая ИСПДн классифицируется отдельно. Организация может одновременно эксплуатировать несколько ИСПДн с разными уровнями защищённости.

Постановление Правительства РФ N 1119 от 01.11.2012 определяет типы ИСПДн в зависимости от того, чьи данные обрабатываются. ИСПДн обрабатывающая данные сотрудников оператора — это система, в которой обрабатываются ПДн только работников.

ИСПДн обрабатывающая данные иных субъектов — система, где обрабатываются данные клиентов, контрагентов, посетителей сайта. Данное разделение влияет на определение уровня защищённости.

Также ИСПДн различаются по объёму обрабатываемых данных: до 100 000 субъектов и более 100 000 субъектов. Порог в 100 000 является ключевым для определения уровня защищённости.

ПП 1119 выделяет четыре категории ПДн. Специальные — данные о расовой принадлежности, политических взглядах, здоровье, судимости, интимной жизни. Биометрические — фотографии, отпечатки пальцев, используемые для идентификации.

Общедоступные — данные из общедоступных источников (справочников, адресных книг) с согласия субъекта. Иные — все остальные данные, не относящиеся к первым трём категориям: ФИО, телефон, email, адрес, данные документов.

Категория обрабатываемых данных напрямую определяет требуемый уровень защищённости. Обработка специальных категорий требует наивысших мер защиты.

Для классификации ИСПДн необходимо определить три параметра: категорию обрабатываемых ПДн (специальные, биометрические, общедоступные, иные), тип субъектов (сотрудники или не сотрудники оператора) и объём обрабатываемых данных (до или более 100 000 субъектов).

На основании этих параметров по таблице из ПП 1119 определяется один из четырёх уровней защищённости (УЗ-1, УЗ-2, УЗ-3, УЗ-4). Первый уровень — максимальный, четвёртый — минимальный.

Например, система кадрового учёта малого предприятия (иные ПДн, сотрудники, до 100 000) соответствует четвёртому уровню. CRM с данными клиентов включая сведения о здоровье (специальные, не сотрудники, до 100 000) — второму уровню.

Для быстрого расчёта используйте калькулятор уровня защищённости.

Уровень защищённости определяет набор обязательных организационных и технических мер. Для УЗ-4 достаточно базовых мер: антивирус, разграничение доступа, регулярное обновление ПО. Для УЗ-3 добавляется назначение ответственного за безопасность ПДн.

УЗ-2 требует ограничения доступа к содержимому электронного журнала событий. УЗ-1 предусматривает создание структурного подразделения по защите информации или возложение обязанностей на существующее.

Каждый уровень защищённости детализируется Приказом ФСТЭК N 21, который устанавливает конкретные меры: от идентификации пользователей до контроля целостности информации и управления инцидентами.

Результаты классификации оформляются актом определения уровня защищённости ИСПДн. Акт утверждается руководителем организации и содержит: наименование ИСПДн, категории обрабатываемых данных, тип субъектов, объём, определённый уровень защищённости.

Акт составляется комиссией, в которую входят ответственный за защиту ПДн, системный администратор и представитель руководства. При изменении состава обрабатываемых данных или архитектуры системы акт переоформляется.

Дополнительно рекомендуется составить паспорт ИСПДн, содержащий детальное описание системы: аппаратные и программные средства, схему сети, перечень баз данных, состав пользователей.