Меры по обеспечению безопасности персональных данных, реализуемые в рамках построения системы защиты, выбираются главным образом на основе установленного уровня защищенности персональных данных, определяемого на основании порядка, который содержит Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Квалифицирующими признаками для установления необходимого уровня защищенности персональных данных (согласно Постановления Правительства РФ от 01.11.2012 № 1119) являются:
- наличие актуальных угроз безопасности;
- содержание обрабатываемых персональных данных;
- объем обрабатываемых персональных данных.
Многие процессы становятся более понятными, если их изобразить графически.
Поэтому для облегчения понимания порядка установления уровней защищенности (далее УЗ - уровень защищенности) персональных данных в ИСПДн приведу 2 картинки - одна для ИСПДн, к которой обрабатываются перс.данные ТОЛЬКО работников Оператора (в ПП 1119 - указано "сотрудников", хотя по Трудовому Кодексу правильно будет говорить о "работниках"), в другой - ИСПДн с персональными данными НЕ ТОЛЬКО работников Оператора.
Установление уровня защищенности ПДн для ИСПДн, обрабатывающих ПДн НЕ ТОЛЬКО сотрудников Оператора |
Установление уровня защищенности ПДн для ИСПДн, обрабатывающих ПДн ТОЛЬКО сотрудников Оператора |
Напомню также, что:
- ИСПДн обрабатывает специальные категории ПДн, если в ней обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн.
- ИСПДн обрабатывает биометрические ПДн, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн, и не обрабатываются сведения, относящиеся к специальным категориям ПДн.
- ИСПДн обрабатывает общедоступные ПДн, если в ней обрабатываются ПДн субъектов ПДн, полученные только из общедоступных источников ПДн, созданных в соответствии со статьей 8 Федерального закона №152 "О персональных данных".
- ИСПДн обрабатывает иные категории ПДн, если в ней не обрабатываются ПДн, указанные в трех предыдущих абзацах.
Разбиение множества информационных систем персональных данных согласно Постановления Правительства №1119 |
Определение 3 типов угроз можно представить следующим образом:
В зависимости от установленного уровня защищённости ПДн, необходимо принимать следующие меры по защите персональных данных:
Набор мер мер по обеспечению безопасности персональных данных, подлежащих реализации в рамках построения системы защиты персональных данных (СЗПДн) содержатся в Приказе ФСТЭК России от 18 февраля 2013 г. N 21
0 коммент.:
Отправить комментарий