Постановление 1119 - установление уровней защищенности ПДн
Меры по обеспечению безопасности персональных данных, реализуемые в рамках построения системы защиты, выбираются главным образом на основе установленного уровня защищенности персональных данных, определяемого на основании порядка, который содержит Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".


Квалифицирующими признаками для установления необходимого уровня защищенности персональных данных (согласно Постановления Правительства РФ от 01.11.2012 № 1119) являются:
  - наличие актуальных угроз безопасности;
  - содержание обрабатываемых персональных данных;
  - объем обрабатываемых персональных данных.

Многие процессы становятся более понятными, если их изобразить графически.
Поэтому для облегчения понимания порядка установления уровней защищенности (далее УЗ - уровень защищенности) персональных данных в ИСПДн приведу 2 картинки - одна для ИСПДн, к которой обрабатываются перс.данные ТОЛЬКО работников Оператора (в ПП 1119 - указано "сотрудников", хотя по Трудовому Кодексу правильно будет говорить о "работниках"), в другой - ИСПДн с персональными данными НЕ ТОЛЬКО работников Оператора.


Шпаргалка по установлению УЗ для ПДн не только работников Оператора
Установление уровня защищенности ПДн для ИСПДн,
обрабатывающих ПДн НЕ ТОЛЬКО сотрудников Оператора
Дробные ячейки устанавливают УЗ для количественных значений квалифицирующих признаков: верхняя часть - 100 тыс. и более субъектов ПД, нижняя - менее 100 тыс. субъектов.
Шпаргалка по установлению УЗ для ПДн ТОЛЬКО работников Оператора
Установление уровня защищенности ПДн для ИСПДн,
обрабатывающих ПДн  ТОЛЬКО сотрудников Оператора

Напомню также, что:

  • ИСПДн обрабатывает специальные категории ПДн, если в ней обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн.
  • ИСПДн обрабатывает биометрические  ПДн, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности  человека,  на  основании  которых  можно установить его личность и которые используются  оператором для установления  личности субъекта ПДн, и не обрабатываются  сведения,  относящиеся к специальным  категориям ПДн.
  • ИСПДн обрабатывает общедоступные ПДн,  если в ней обрабатываются ПДн субъектов  ПДн, полученные только из общедоступных источников ПДн, созданных  в  соответствии со статьей 8 Федерального закона №152 "О персональных данных".
  • ИСПДн обрабатывает иные категории ПДн, если в ней не обрабатываются ПДн, указанные в трех предыдущих абзацах.
А все множество информационных систем персональных данных (согласно определений, данных в Постановлении Правительства №1119) можно представить в виде подмножеств как это показано на рисунке:

Разбиение подмножества ИСПДн
Разбиение множества информационных систем персональных данных согласно Постановления Правительства №1119


Определение 3 типов угроз можно представить следующим образом:

Перечень типов угроз персональных данных из ПП-1119


В зависимости от установленного уровня защищённости ПДн, необходимо принимать следующие меры по защите персональных данных:

Отличие в применяемых мерах в зависимости от установленного уровня защищенности ПДн

Набор мер мер по обеспечению безопасности персональных данных, подлежащих реализации в рамках построения системы защиты персональных данных (СЗПДн) содержатся в Приказе ФСТЭК России от 18 февраля 2013 г. N 21