Открываем занавес неизвестного – что это такое информационные системы персональных данных и как с ними работать?
Информационными системами персональных данных (ИСПДн) в своей деятельности пользуются многие компании и организации, как государственные, так и муниципальные.
Что такое государственные и частные ИСПДн, особенности частных и государственных ИСПДн, узнаем определения и рассмотрим особенности данных систем, а также основные процессы работы с ними.
Расскажем инструкция регламентирует какие обязанности оператора ИСПДн регламентирует инструкция по обеспечению безопасности обрабатываемой информации.
Что это такое государственные и частные ИСПДн?
Информационная система ПДн предназначена для хранения и обработки личной информации. Она состоит из:
- Совокупности сведений, которые хранятся в базе.
- Технических средств, применяющихся для работы с данными сведениями.
- Средств автоматизации работ, связанных с учетом и обработкой информации, находящейся в ИСПДн (автоматизирующие средства применяются не во всех системах).
- Фамилия, имя, отчество.
- Дата рождения.
- Адрес прописки и фактического проживания.
- Материальное, семейное и социальное положение.
- Размеры доходов.
- Профессия.
- Иные данные.
Особенности частных
Для большинства крупных частных предприятий и компаний, которые работают в России, неотъемлемыми стали программы бухучета, занимающиеся обработкой данных о:
ИСПДн в облаке. Безопасность и соответствие требованиям
- зарплате сотрудников;
- пенсионных, страховых налоговых отчислений;
- социальных пособиях;
- добровольных взносах (к примеру, негосударственное страхование пенсионеров);
- принудительных платежах (например, алиментах).
Практически у каждой серьезной компании имеется автоматизированная система учета кадров: самостоятельная или являющаяся составляющей ERP-системы.
В зависимости от характера деятельности в разных фирмах и на производстве появляются специфические системы, которые обрабатывают ПДн:
- автоматизированные банковские системы;
- биллинговые системы или абонентские базы;
- базы страховых компаний;
- системы, хранящие данные коллекторских агентств;
- бюро кредитных историй с информацией о гражданах;
- амбулаторные электронные карты в медицинских организациях и пр.
Все перечисленные системы обслуживают бизнес-процессы.
Государственные
Российское законодательство в области ПДн основано на Конституции РФ и международных договорах России и состоит из действующего ФЗ-152 «О персональных данных» и прочих законов, определяющих случаи и тонкости обработки персональной информации.
Согласно федеральным законам, государственные органы имеют полномочия на принятие нормативных актов по определенным вопросам относительно обработки ПДн.Данные акты не могут нести в себе положения, которые ограничивают права субъектов личных данных. Указанные проекты официально публикуются. Исключение составляют акты или конкретные их положения, содержащие информацию, доступ к которой ограничивается законом.
Модель угроз: как определить, какие угрозы актуальны для вашей ИСПДн
Обработка ПДн
Процесс обработки ПДн – это изменение, добавление, хранение, удаление, анализ или распространение персональной информации. У каждой ИСПДн обязательно должна быть конкретная цель обработки. Она и служит главным критерием при выделении категории ИСПДн.
Обработкой данных занимается оператор – это государственный, частный орган, физическое или юридическое лицо, работающее с персональной информацией. Оператор определяет цели и характер обработки ПДн.
Внимание! Каждая ИСПДн должна иметь администратора безопасности. Это лицо, в чьи рабочие обязанности входит обеспечение защиты ПДн в системе.
Сотрудник следит за работой средств, защищающих информацию, регулярно проводит антивирусные проверки, консультирует сотрудников по теме безопасности личных данных.
Кроме того, каждая ИСПДн должна иметь разработанную «Частную модель актуальных угроз». Данный документ выделяет среди всех потенциальных угроз безопасности информации те, которые представляют реальную опасность. Модель строится на основании оценок экспертов.
Аттестация
Аттестация ИСПДн обязательна только для государственных систем персональных данных. Операторы обязаны их защищать в соответствии с Правилами защиты сведений, не являющихся государственной тайной, которые содержатся в государственных ИСПДн. Правила утверждены Приказом ФСТЭК РФ №17 от 2013 года.
Для негосударственных информационных систем аттестат соответствия нормам безопасности может пригодиться в том случае, когда необходимо доказывать требуемую степень защиты ИСПДн. Для частных систем аттестация проводится добровольно. Для этого могут использоваться Специальные рекомендации и требования по защите конфиденциальных данных (СТР-К). Доступ к указанному документу ограничен. Его можно получить исключительно в управлении ФСТЭК.
Процедура аттестации проводится компанией, обладающей лицензией на ведение дел по технической защите информационных ресурсов. Для этого создается аттестационная комиссия, включающая экспертов в сфере информационной безопасности. Задача команды – оценить соответствие технических и организационных мероприятий, испытать программные средства защиты ПДн.
Внимание! По результатам оценки выдается либо Аттестат, либо рекомендации по устранению недочетов системы защиты ПДн. Чтобы пройти аттестацию, организация должна тщательно подготовиться к процедуре или поручить этот процесс компетентным лицам.
Для частных компаний может быть достаточно получения декларации соответствия. Документ составляет оператор, привлекая специалистов в сфере защиты ПДн.
Матрица доступа
Особенности избирательного управления доступом описываются моделью системы на основе матрицы доступа (МД). Также она называется матрицей контроля доступа. МД – это прямоугольная матрица, в рамках которой объект системы – это строка, а субъект – столбец. На пересечении строки и столбца указан вид разрешенного доступа субъекта к определенному объекту.
Доступы бывают следующие:
- К чтению.
- Для записи.
- На исполнение и другие.
Количество объектов и видов доступа к ним меняются, согласно определенным правилам, использующимся в конкретной системе. Изменения данных правил также решаются матрицей. Первоначальное состояние системы определяет матрица доступа.
Действия регламентируются и фиксируются в матрице:
- R – чтение.
- CR – создание объекта.
- W – запись внутри объекта.
- D – избавление от объекта.
- Знак «+» определяет доступность для конкретного субъекта.
- Знак «-» определяет недоступность для субъекта.
Состояние информационной системы будет считаться безопасным, если, согласно ее политике, субъекты имеют право только на определенные виды доступа к объектам и предусматривается запрет доступа.
На примере предприятия объектами будут:
- Технические средства, обрабатывающие, принимающие и передающие информацию.
- Коммерческая тайна.
- Личные данные клиентов.
- ПДн работников.
- Документация.
- Личные дела сотрудников.
- Электронные БД персонала и клиентуры.
- Бумажные и электронные приказы, договора, планы, отчеты, являющиеся коммерческой тайной.
- Средства защиты данных: антивирусы, сигнализационная система и др.
- Личные данные бывших сотрудников и клиентов.
В роли субъектов доступа к данным выступают:
- Директор (S1).
- Главбух (S2).
- Специалист (S3).
Инструкция пользователя
Инструкция регламентирует обязанности оператора ИСПДн по обеспечению безопасности обрабатываемой информации. Она включает:
- Обязанности пользователя ИСПДн.
- Запрещенные для пользователя ИСПДн действия.
- Права оператора ИСПДн.
- Ответственность пользователя.
- Правила работы в информационно-телекоммуникационных сетях международного обмена информацией.
- Перечень документации, использованной при разработке инструкции.
- Скачать бланк инструкции пользователя информационных систем персональных данных
- Скачать образец инструкции пользователя информационных систем персональных данных
Как происходит обработка личных сведений?
Процесс обработки ПДн в системе должен соответствовать следующим принципам:
- Обработка данных выполняется только на законных основаниях.
- Процедура ограничивается достижением заблаговременно утвержденных конкретных целей, не противоречащих закону.
- Недопустимо объединение нескольких БД, содержащих информацию, чья обработка осуществляется в несовместимых между собой целях.
- Обрабатываются только те ПДн, которые соответствуют целям обработки.
- Обеспечение точности информации, ее достаточности и актуальности для конкретных целей.
Важно! Обрабатывать информацию разрешено только с согласия на обработку, полученного от субъекта ПДн, за исключением случаев, предусмотренных статьей 6 ФЗ-152 «О персональных данных».
Необходимость обеспечения безопасности ИСПДн актуальна. Конфиденциальность личной информации является обязательным требованием для лиц, имеющих доступ к персональным данным. Важно не допускать их распространения, если субъект ПДн не дал на это своего согласия или если отсутствуют на то законные основания.
Источник: 101million.com
Что такое ИСПДН?
Информационные системы персональных данных (ИСПДн) используют в своей работе многие предприятия и организации. Давайте разберемся, что это такое, и какие нюансы нужно учитывать тем, кто работает с ИСПДн.
Что такое ИСПДН?
- Собственно, совокупность персональных данных, хранящихся в системе, в базе данных.
- Технические средства, использующиеся для работы с этими данными.
- Средства автоматизации процессов учета и обработки сведений, хранящихся в ИСПДн (могут быть не во всех системах).
ИСПДН – это серьезно
При использовании рассматриваемых систем важно обеспечить защиту персональных данных от несанкционированного доступа, утери и прочих нештатных ситуаций. Это прописано даже на законодательном уровне. А для того, чтобы принять советующие меры по ограничению доступа к сведениями и по их защите, проводится аудит ИСПДн (подробнее можно узнать, например, у специалистов компании «Rentacloud»: http://rentacloud.su/services/zashchita-personalnykh-dannykh/audit/). По его результатам составляется акт, содержащий следующую информацию:
- Категория персональных данных, которые хранятся и обрабатываются в обследованной системе.
- Их класс и тип (об этом — ниже).
- Параметры и структура исследуемой системы.
- Объемы ПДн (количество записей и пр.), хранящихся и обрабатываемых в ИСПДн.
- Сведения о местонахождении системы.
- Информация о возможности доступа к базе данных посредствам сетей, доступных для общего пользования (ЛВС, интернет и пр.).
Аудит проводится в точном соответствии с совместным документом, подготовленным Министерством связи, ФСТЭК и ФСБ. Он весьма объемный и требует досконального изучения. В связи с этим аудит системы и составление рекомендаций, на которых будет основываться защита ИСПДн, необходимо доверять специалистам. Их услугами можно воспользоваться, например, обратившись в компанию «Rentacloud»: (http://rentacloud.su).
Типы, классы ИСПДн, и что еще нужно знать про такие системы
Информационные системы персональных данных (ПДн) подразделяются на 4 класса и 2 типа. Разделение на классы осуществляется на основе таких признаков, как категория обрабатываемых ПДн, и их объемы.
Классы
Разобраться с этим вам поможет таблица:
Пояснения к таблице.
К категории под номером 4 относятся обезличенные ПДн, по которым невозможно идентифицировать конкретного субъекта (пример – статистические данные). К Кат 3 отнесены ПДн, на основе которых возможна только идентификация человека (встречаются довольно редко). Категория 2 включает данные, на основе которых можно провести идентификацию человека, и получить о нем некоторые дополнительные сведения (пример – системы начисления заработной платы в организациях и на предприятиях). К первой категории отнесены данные, содержащие сведения о национальности, состоянии здоровья и другие социальные сведения, и информация иного характера (пример – базы данных учреждений здравоохранения).
Что касается классов, указанных в таблице, отнесение ИСПДН к ним осуществляется на основе возможного ущерба для субъектов при нарушении условий безопасности:
- Кл 4. Какие-либо негативные последствия для субъекта исключены.
- Кл 3. Могут иметь место незначительные негативные последствия.
- Кл 2. Возникновение таких последствий.
- Кл 1. Возможны весьма серьезные негативные последствия.
Типы ИСПДн
К первому типу отнесены системы, где функции защиты ИСПДн сводятся только к достижению нужных показателей ее конфиденциальности. Если же, помимо конфиденциальности, есть необходимость обеспечении еще хотя бы одного дополнительного показателя безопасности (аутентичность, доступность, целостность данных и пр.), речь идет о втором типе.
Стоит отметить, что большинство используемых сегодня систем отнесены ко второму типу.
Видно, что разработка ИСПДн, их классификация и обеспечение надежной, эффективной защиты – весьма сложные и многогранные процессы. И чтобы не допустить ошибок, целесообразно доверить это специалистам. Обратиться для этого можно, к примеру, в компанию «Rentacloud», занимающую на этом рынке одну из лидирующих позиций.
Смотрите также
- Профессиональное обслуживание дата-центров
- Где заказать разработку приложения для Bitrix24
- Digital.Help: место, где встречаются заказчики и исполнители
- Современные blade-серверы: в чем эффективность такого решения
- Популярные
- Последние
- Рубрики
- Универсальный jQuery-скрипт для блоков с вкладками (табами) 977 комментариев
- «Хлебные крошки» для WordPress без использования плагина 687 комментариев
- Постраничная навигация в WordPress без плагина (альтернатива WP-PageNavi) 228 комментариев
- Безболезненный перенос сайта на WordPress на новый домен 270 комментариев
- Плагин для WordPress «Предпросмотр комментария» на jQuery 249 комментариев
- Как с помощью CSS прижать footer к низу окна браузера 161 комментарий
- Загрузка части контента на WordPress с помощью AJAX 198 комментариев
- Слайдер-превью изображений при наведении мыши 14 комментариев
- Разметка WordPress-меню по БЭМ с помощью волкера 7 комментариев
- Удаляем ссылку у текущего пункта меню WordPress 8 комментариев
- WordPress: добавляем в меню счетчик записей для таксономий 4 комментария
- WordPress: выводим список всех тегов (меток) в рубрике 5 комментариев
- User CSS — браузерное расширение для добавления пользовательских стилей к сайтам 19 комментариев
- Верстка заголовка с горизонтальной линией слева и справа от текста 35 комментариев
- CSS-верстка
- jQuery и JavaScript
- WordPress
- Браузеры
- Веб-мастеринг
- Интернет
- Манимейкинг
- Познавательно
- Программы
- Продвижение сайта
Источник: dimox.name
Классификация информационных систем персональных данных (отменена)
Внимание! C 11 марта 2013 года классификация ИСПДн по «приказу трёх» отменена (Приказ ФСТЭК/ФСБ/Минкомсвязи №151/786/461).
В настоящее время процедура классификации проводится только для Государственных информационных систем (ГИС) в рамках выполнения требований 17-го приказа ФСТЭК.
Для обычных ИСПДн проводится Определение уровня защищенности.
Для проведения классификации создавалась комиссия, в состав которой входили специалисты по защите информации и другие сотрудники, непосредственно отвечающие за безопасность персональных данных. Процедура проведения классификации устанавливалась так называемым «приказом трех» (Совместный приказ ФСТЭК, ФСБ и Мининформсвязи РФ от 13.02.2008), который в настоящее время отменен.
В ходе проведения классификации члены комиссии должны были осуществить анализ собранной информации (исходных данных) об информационной системе, таких как:
- количество субъектов, персональные данные которых обрабатываются (объем);
- категория персональных данных;
- характеристики безопасности персональных данных;
- структура информационной системы (автономные, локальные или распределенные системы);
- наличие подключений к сетям общего пользования, в том числе сети Интернет;
- режим обработки (может быть однопользовательский и многопользовательский);
- наличие разграничения прав доступа к персональным данным в информационной системе;
- территориальное расположение элементов информационной системы (могут быть расположены в пределах РФ либо за пределами РФ частично или полностью).
По результатам анализа комиссия должна была определить класс информационной системы при помощи следующей таблицы:
| Категория обрабатываемых персональных данных (ПДн) | Количество субъектов ПДн | ||||||||
| более 100 тыс. | в объеме | от 1 тыс. до 100 тыс. | в объеме | до 1 тыс. субъектов | |||||
| РФ | субъекта РФ | отрасли | органа власти | муниципального образования | организации | ||||
| касающиеся национальной и расовой принадлежности, религиозных либо философских убеждений, здоровья и интимной жизни | класс 1 (К1) | класс 1 (К1) | класс 1 (К1) | ||||||
| позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию | класс 1 (К1) | класс 2 (К2) | класс 3 (К3) | ||||||
| позволяющие идентифицировать субъекта ПДн | класс 2 (К2) | класс 3 (К3) | класс 3 (К3) | ||||||
| обезличенные или общедоступные ПДн | класс 4 (К4) | класс 4 (К4) | класс 4 (К4) | ||||||
Напоминаем вам, что в настоящий момент классификацию ИСПДн проводить не нужно, так как отменен устанавливающий эту процедуру нормативный акт. В настоящее время для определения базового набора мез защиты необходимо определять уровень защищенности.
Классификация ИСПДн
Классификация ИСПДн требуется для выстраивания защиты уже существующей либо проектируемой системы, которая обрабатывает персональные данные. Чем нужно руководствоваться в процессе разработки организационно-технических мероприятий по предупреждению угроз безопасности.
Основополагающими в вопросах регулирования вопросов выделения видов ИСПДн являются правительственные положения, утвержденные приказы ФСТЭК и ФСБ. Они, в свою очередь, разработаны с учетом содержания ФЗ-152 — основного законодательного акта в сфере защиты ПДн.
Если возникнут трудности с приведением деятельности в соответствие с актуальными правовыми нормами, есть смысл привлечь специалистов нашего центра.
Как правильно классифицировать ИСПДн: категории ПДн и другие критерии
В течение 5 лет информационные системы, обрабатывающие личные сведения граждан, требовалось делить на классы. Необходимость выполнения разделения была прописана Совместным приказом регулирующих органов (ФСБ, Мининформсвязи и Федеральной службы безопасности России), принятым 13 февраля 2008 года. Определение класса ИСПДн могло осуществляться на любом этапе. Для выполнения всех предусмотренных законом действий создавалась специальная комиссия, которая должны была оценить прописанные в приказе параметры, для того, чтобы в зависимости от присвоенного класса имелась возможность адекватно подобрать те или иные методики и оборудование СЗПДн.
Ключевыми критериями, которые принимались во внимание, были:
- категории используемых сведений (всего существовало 4 категории (обезличенные/общедоступные; ПДн, связанные с расой, национальностью, политическими, философскими и религиозными взглядами, интимной жизнью и состоянием здоровья; ПДн, предназначенные для идентификации и получении дополнительных сведений о субъекте, не вошедшие в 1 категорию; ПДн, позволяющие идентифицировать личность));
- исходные параметры безопасности ПДн, на основании которых выделялись типовые и специальные ИСПДн;
- структурные особенности ИС — принадлежность к локальным, автономным либо распределительным системам;
- размещение компонентов ИСПДн (учитывалось территориальное расположение системы — либо в РФ, либо за её пределами);
- тип субъектов персональных данных;
- дифференциация прав доступа к конфиденциальной информации;
- подключение к Интернету и прочим сетям общего пользования;
- число пользователей — классификация предполагала выделение однопользовательских и многопользовательских ИС.
Проанализировав совокупность указанных выше свойств системы, экспертам нужно было установить, к какому из четырех классов она принадлежит, и с учетом этого проектировать СЗПДн.
4 класса ИСПДн
- Класс 1 — системы, где нарушение характеристик ИБ способно спровоцировать существенные негативные последствия для владельцев персональных данных.
- Класс 2 — ИСПДн, в которых нарушения безопасности чреваты негативными последствиями для граждан.
- Класс 3 — ИС, нарушения в которых вызывают незначительные риски для субъектов.
- Класс 4 — системы, в которых вероятные нарушения не способны стать причиной каких-либо негативных последствий для людей, чьи данные в ней обрабатываются.
Итоги исследований и решение о присвоении того или иного класса ИСПДн предстояло зафиксировать в отдельном документе — акте, который подписывался членами сформированной комиссии. Изначальное решение могло быть изменено, если:
- необходимость в этом возникала в процессе контроля соблюдения требований ИБ в отношении обрабатываемых личных сведений;
- оператором принималось решение по результатам изучения и оценки УБ после изменения параметров ИС.
Нужна ли классификация информационных систем персональных данных в 2021 году?
После того, как в 2012 году было принято Постановление Правительства № 1119, регулирующее требования в отношении ИСПДн, необходимость проводить классификацию исчезла. Отмену разделения уполномоченные органы прописали в соответствующих приказах, что позволило с марта 2013 года ограничиться установлением уровня защищенности ИСПДн (всего уровней 4). Его определяют на основании типа УБ, категории и количества субъектов информационной системы, а также взаимоотношений с ними (сотрудники или нет).
Источник: data-sec.ru
Типы и классификация ИСПДн
Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора.
ИСПДн на примере
Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной информационной системе будет располагаться БД персональных данных действующих и уволенных сотрудников. В данную систему будут входить все средства, которые способствуют обработке этих данных. Например АРМы, серверы, программное обеспечение, применяемые средства защиты информации.
Классификация и типы ИСПДн
Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению:
Типы ИСПДн
Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы ИС, которые обрабатывают ПДн, относящиеся к следующим категориям:
- специальные;
- биометрические;
- общедоступные;
- иные;
- персональные данные сотрудников.
Актуальные угрозы ИСПДн
После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы:
- первого типа;
- второго типа;
- третьего типа.
К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
Уровни защищенности ИСПДн
Существует четыре уровня защищенности.
Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов:
- чьи персональные данные обрабатываются (работников или не работников);
- количество субъектов ПДн.
Составим таблицу определения уровня защищенности ИСПДн согласно ПП №1119.
| Категория ПДн | Отношение субъекта ПДн к оператору | Количество ПДн | Актуальные угрозы | ||
| У 1 | У 2 | У 3 | |||
| специальные | не сотрудник | более 100000 | УЗ 1 | УЗ 1 | УЗ 2 |
| менее 100000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
| сотрудник | нет ограничений | УЗ 1 | УЗ 2 | УЗ 3 | |
| биологические | не сотрудник | более 100000 | УЗ 1 | УЗ 2 | УЗ 3 |
| менее 100000 | УЗ 1 | УЗ 2 | УЗ 3 | ||
| сотрудник | нет ограничений | УЗ 1 | УЗ 2 | УЗ 3 | |
| общедоступные | не сотрудник | более 100000 | УЗ 2 | УЗ 2 | УЗ 4 |
| менее 100000 | УЗ 2 | УЗ 3 | УЗ 4 | ||
| сотрудник | нет ограничений | УЗ 2 | УЗ 3 | УЗ 4 | |
| иные | не сотрудник | более 100000 | УЗ 1 | УЗ 2 | УЗ 3 |
| менее 100000 | УЗ 1 | УЗ 3 | УЗ 4 | ||
| сотрудник | нет ограничений | УЗ 1 | УЗ 3 | УЗ 4 | |
ИСПДн: основные моменты
Чтобы определить, как именно защищать вашу ИС, в которой обрабатываются персональные данные ваших сотрудников или клиентов, необходимо определить уровень защищенности. Для этого нужно знать следующее:
- какие персональные данные обрабатываются и с помощью этого выделить тип ИС;
- угрозы, актуальные для вашей ИС;
- количество обрабатываемых данных
- кем является субъект предоставляемых данных (работником или не работником).
Зная все эти сведения, можно легко установить уровень защищенности вашей ИС. Меры для обеспечения всех вышеприведенных уровней защищенности определены в законодательных документах.
Источник: rtmtech.ru