Наименование оператора испдн

Инструкция администратора ИСПДн

Ликбез по персональным данным

№ 11. Уровни защищенности персональных данных

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Постановление Правительства № 1119 от 1 ноября 2012

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы…

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

Понравилось? Расскажите друзьям:

22.10.2013

Пример заполнения акта классификации информационной системы персональных данных, с учетом требований Постановления Правительства Российской Федерации от 1 ноября 2012 г.

Акт классификации ИСПДн

№ 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

В связи с отменой приказа 55/86/20 «Об утверждении порядка проведения классификации ИСПДн» мы разработали новый Акт определения уровня защищенности персональных данных вместо акта классификации ИСПДн.

УТВЕРЖДАЮ
Генеральный Директор
ЗАО «Компания-оператор ПДн»

__________________ Фамилия И. О.
«___» ____________ 2013 г.

АКТ № 1
классификации информационной системы персональных данных
«Название ИСПДн»

В соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказом Генерального директора ЗАО «Компания-оператор ПДн» от «___» ___________ № ____ комиссия в составе:

председатель комиссии:
должность Фамилия И. О.,

члены комиссии:
должность Фамилия И. О.,
должность Фамилия И. О.,

произвела сбор данных об информационной системе персональных данных и установила нижеследующее:

1) в информационной системе персональных данных (ИСПДн) обрабатываются персональные данные иных категорий персональных данных сотрудников оператора;
2) в ИСПДн одновременно обрабатываются персональные данные менее чем 100 000 субъектов персональных данных;
3) по структуре ИСПДн относится к локальной информационной системе, состоящей из нескольких из нескольких АРМ и серверов;
4) по наличию подключений к сетям международного информационного обмена (Интернет) информационная система относится к системам, не имеющим подключения;
5) по режиму обработки персональных данных в информационной системе ИСПДн относится к многопользовательским;
6) по разграничению прав доступа пользователей ИСПДн относится к системам с разграничением прав доступа;
7) в зависимости от местонахождения технических средств ИСПДн относится к системам, технические средства которых размещены в Российской Федерации;
8) речевая обработка сведений составляющих ПДн в информационной системе не осуществляется.
9) условие обработки персональных данных — для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

В соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и на основании анализа исходных данных информационной системе персональных данных «Название ИСПДн» установить уровень защищенности 4.

председатель комиссии:

Фамилия И. О.
_____________________
"___"_________ 2013 г

члены комиссии:

Фамилия И. О.
_____________________
"___"_________ 2013 г.

Фамилия И. О.
_____________________
"___"_________ 2013 г

Теги: ИСПДндокументы

К списку статей

В области инженерно-технической защиты информации используются несколько общепринятых терминов:

Технические средства приема, обработки, хранения и передачи информации (ТСПИ или ТСОИ) – системы и устройства,  непосредственно обрабатывающие секретную и  конфиденциальную информацию (вычислительная техника и сети, ПО, системы спецсвязи и передачи данных и т.д.).

Вспомогательные технические средства и системы (ВТСС) – технические средства и системы, не относящиеся к ТСПИ, но размещенные в помещениях, в которых обрабатывается секретная и конфиденциальная информация (обычная телефонная связь, системы пожарной и охранной сигнализации,  электробытовые приборы и т.д).

Опасная зона R1 – область вокруг ТСПИ, в которой наводки на случайных антеннах выше допустимого нормированного уровня.

Оператор персональных данных

В зоне R1 запрещается размещение цепей ВТСС, имеющих выход электрических цепей за пределы контролируемой зоны.

Опасная зона R2 – область вокруг ТСПИ, в которой отношение «сигнал/шум» побочных электромагнитных излучений ТСПИ превышает допустимое нормированное значение и возможен их перехват с помощью идеального приемника с последующей расшифровкой информации.

Важным понятием для технической защиты информации является контролируемая зона – зона (территория, здание, часть здания, помещение), в котором исключено несанкционированное пребывание сотрудников и посетителей организации, а также транспортных средств. Мероприятия по технической защите информации в общем случае направлены на снижение отношения сигнал-шум на границах контролируемой зоны во всех технических каналах утечки информации – акустических и электромагнитных. Контролируемая зона должна включать в себя опасные зоны R1 и R2, чтобы исключить возможность доступа злоумышленника к информационному сигналу с мощностью достаточной для его расшифровки.

Границы контролируемой зоны могут проходить  по стенам (полу и потолку) помещения или нескольких помещений, по стенам здания или по периметру охраняемой территории, прилегающей к зданию.

Добавить комментарий

Закрыть меню