Рівні захищеності персональних даних

В місце класів, згідно з новою постановою, встановлюються чотири рівні захищеності персональних даних при їх обробці в інформаційних системах і вимоги для кожного з них. Віднесення інформаційних систем до того чи іншого рівня захищеності проводиться в залежності від типу персональних даних, який обробляє інформаційна система, типу актуальних загроз, кількості оброблюваних інформаційною системою суб'єктів персональних даних і від того, персональні дані якого контингенту обробляються.

Інформаційні системи персональних даних (ІСПДн), згідно з пунктом 5 статті Постанови №1119 поділяються на 4 групи:
  • Спеціальні ІСПДн

якщо в ІСПДн обробляються персональні дані, що стосуються расової, національної приналежності, політичних поглядів, релігійних або філософських переконань, стану здоров'я, інтимного життя суб'єктів персональних даних;

якщо в ІСПДн обробляються персональні дані суб'єктів персональних даних, отримані тільки із загальнодоступних джерел персональних даних, створених відповідно до статті 8 Федерального закону "Про персональні дані";

якщо в ІСПДн обробляються персональні дані суб'єктів персональних даних, які не представлені в трьох попередніх групах.

За формою відносин між вашою організацією і суб'єктами, обробка підрозділяється на 2 види:
  • обробка персональних даних співробітників (суб'єктів, з якими ваша організація пов'язана трудовими відносинами);
  • обробка персональних даних суб'єктів, які не є співробітниками вашої організації.
І нарешті, типи актуальних загроз:
  • погрози 1-го типу пов'язані з наявністю недекларірованних (недокументованих) можливостей в системному ПО, використовуваному в ІСПДн;
  • погрози 2-го типу пов'язані з наявністю декларованих можливостей в прикладному ПО, використовуваному в ІСПДн;
  • погрози 3-го типу не пов'язані з наявністю декларованих можливостей в програмному забезпеченні, яке в ІСПДн.

До ак встановити тип актуальних погроз не регламентовано. Вимоги ПП-1119 не пропонує ніяких методів і способів їх нейтралізації. Якщо раніше оператор міг вибрати класифікацію типовий ІСПДн по таблиці або класифікацію спеціальної ІСПДн за результатами моделі загроз, то тепер вибору немає. Рівень захищеності завжди визначається, виходячи з актуальності загроз. Оператор навряд чи зможе визначити їх самостійно - доведеться звертатися у вищестоящу організацію або до консультанта. Найпростіше піти по шляху найменшого опору, тобто визначити тип актуальної загрози 3 типу, і забути про декларованих (недокументовані) можливості в системному і прикладному програмному забезпеченні, але це необхідно буде обґрунтувати. Все питання як. повертаючись до початку абзацу.
Тема актуальності загроз інформаційних систем персональних даних дуже важлива, адже від правильно описаних загроз залежить наскільки грамотно буде захищена система, а також скільки буде коштувати захист для оператора персональних даних.

Е слі Ви визначилися з вихідними даними для конкретної ІСПДн, в тому числі типом актуальних загроз, то можете визначити її рівень захищеності. Для зручності визначення рівня захищеності цю таблицю і, яка зроблена на основі ПП-1119: