Акт определения уровня защищенности персональных данных образец 2020

Содержание
  1. Как определить уровень защищенности информационных систем
  2. Защита типовой системы: скромно и со вкусом
  3. ИС федерального масштаба: все, как у людей
  4. Медицинские информационные системы: зона особого внимания
  5. Прочие информационные системы в сфере здравоохранения
  6. Что такое ИСПДн — информационные системы персональных данных, и зачем в них стоит разобраться
  7. Что такое ИСПДн: раскладываем по полочкам
  8. Какие бывают виды ИСПДн
  9. Уровни защищенности персональных данных и классы защищенности ИСПДн
  10. Что нужно знать про ИСПДн
  11. Акт определения уровня защищенности персональных данных образец 2020
  12. Обработка и защита персональных данных, или Как угодить регуляторам. Часть 2
  13. АКТ определения уровня защищённости информационной системы персональных данных ООО «ДМ»
  14. 3 й уровень защищенности персональных данных. Акт определения уровня защищенности пдн при их обработке в испдн
  15. Акт классификации ИСПДн
  16. Уровни защищенности персональных данных

Как определить уровень защищенности информационных систем

Акт определения уровня защищенности персональных данных образец 2020

Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».

На данный момент требования к защите персональных данных при их обработке в информационных системах установлены постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Постановление пришло на смену утратившему силу постановлению Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и приказу ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г.

N 55/86/20, который утверждал порядок классификации ИСПДн.

Таким образом, сейчас перечень обязательных организационных и технических мер по обеспечению безопасности персональных данных определяется в соответствии с установленным для информационной системы уровнем защищенности персональных данных.

В свою очередь уровни защищенности персональных данных при их обработке в информационных системах определяются исходя из следующих условий:

1) категория субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: сотрудники или иные лица;

2) количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: до 100 000 или более 100 000;

3) категория персональных данных, обрабатываемых в информационной системе:

  • специальные,
  • биометрические,
  • общедоступные,
  • иные;

4) тип актуальных угроз безопасности персональных данных:

  • актуальны угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении;
  • актуальны угрозы, связанные с наличием недокументированных возможностей в прикладном программном обеспечении;
  • актуальны угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.

Чем выше определен уровень защищенности персональных данных, тем больше мер по обеспечению безопасности персональных данных требуется выполнить.

Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более дорогую систему защиты персональных данных.

Рассмотрим типовые варианты информационных систем, которые используются в большинстве медицинских учреждений.

Защита типовой системы: скромно и со вкусом

Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн. Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.

Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений.

В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы.

В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т. е. потребуется выполнение минимального перечня организационных и технических мер.

ИС федерального масштаба: все, как у людей

Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.

Несмотря на то что категория субъектов ПДн и обрабатываемые данные в обеих системах практически аналогичны, объединять их в одну ИС все же не стоит, поскольку цели обработки ПДн в первом случае — это исполнение требований трудового законодательства, а во втором — требований Министерства здравоохранения и социального развития Российской Федерации.

Медицинские информационные системы: зона особого внимания

С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:

  • ведут электронные амбулаторные карты, электронную регистратуру;
  • обрабатывают данные медицинских исследований в цифровой форме;
  • собирают и хранят данные мониторинга состояния пациента с медицинских приборов;
  • используют как средство общения между сотрудниками;
  • анализируют финансовую и административную информацию.

При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:

  • в МИС обрабатываются ПДн специальной категории (состояние здоровья, диагнозы, данные с медицинских приборов и т. д.);
  • субъекты ПДн не являются сотрудниками организации, и их количество может варьироваться.

В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных.

Прочие информационные системы в сфере здравоохранения

В зависимости от инфраструктуры и задач учреждения в организации могут функционировать и иные ИС. Для них действует точно такой же алгоритм определения требуемого уровня защищенности ПДн, что и для систем, речь о которых шла выше.

Если субъекты и цель обработки ПДн в нескольких информационных системах совпадают, то их можно объединить и выстроить для них единую систему защиты персональных данных.

В заключение напомним, что уровень защищенности персональных данных в информационных системах определяется оператором персональных данных самостоятельно, а следовательно, и выбор организационных и технических мер по защите персональных данных лежит на плечах оператора.

Однако не стоит забывать, что завышение уровня защищенности приведет к увеличению стоимости системы защиты персональных данных, а занижение уровня защищенности персональных данных является нарушением.

Дабы не ломать себе голову вопросом «а правильно ли я классифицировал ИС?», доверьтесь профессионалам.

Специалисты «Контур-Безопасность»

  • составят модель угроз
  • классифицируют информационную систему
  • помогут выбрать оптимальные средства защиты
  • грамотно выстроят систему защиты

Узнать больше

Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность»

Источник: https://kontur.ru/articles/1940

Что такое ИСПДн — информационные системы персональных данных, и зачем в них стоит разобраться

Акт определения уровня защищенности персональных данных образец 2020
Если вы храните персональные данные, то обязаны их защищать. Для защиты нужно знать, насколько система, в которой они хранятся, подвержена угрозам. Чтобы это понять, надо определить, к какому виду и классу относится она и сами данные.

Разберем, что такое ИСПДн и что полезно знать про такие системы, если вы работаете с персональными данными.

Что такое ИСПДн: раскладываем по полочкам

ИСПДн — это информационная система персональных данных. Она включает в себя сами персональные данные и средства, которые используют для их обработки и защиты.

Например, у вас интернет-магазин и вы собираете в базу персональные данные клиентов. В таком случае вы оператор персональных данных, а к вашей ИСПДн относят:

  1. Сами персональные данные: имена, фамилии, почтовые адреса, номера телефонов, а также другую информацию, которую вы можете спрашивать у клиентов, чтобы предлагать им определенные товары и скидки, например, дату рождения или данные о семейном положении и наличии детей.
  2. Базы данных, в которых эти данные записаны.
  3. Серверы, то есть физическое оборудование, на котором хранятся базы.
  4. Программы, где данные обрабатываются, например CRM менеджеров.
  5. Компьютеры, на которых сотрудники работают с персональными данными.
  6. Защитные программы: антивирусы, межсетевые экраны и другое подобное ПО.

ИСПДн делят на виды и классы, в зависимости от разных параметров. При этом сами данные — обязательная часть системы. Поэтому когда мы говорим о видах и классах ИСПДн, мы можем говорить о видах и классах самих персональных данных.

Какие бывают виды ИСПДн

Согласно документу ФСТЭК об определении угроз, ИСПДн делят на несколько групп по разными критериям. У каждой группы есть базовая защищенность, которую нужно знать, чтобы определить общий уровень защищенности системы.

Общий уровень защищенности считается так:

  • Если у 70% критериев системы высокий уровень защищенности, а у остальных — средний, то уровень защищенности всей ИСПДн высокий.
  • Если у 70% критериев системы высокий или средний уровень защищенности, а у остальных низкий — уровень защищенности всей системы средний.
  • В остальных случаях уровень защищенности системы низкий.

Ниже расскажем, на какие группы ИСПДн делят, а также как оценить общий уровень защищенности системы с учетом базовой защищенности групп, к которым ее относят.

Группы ИСПДн по территориальному размещению:

  • Распределенные, которые находятся в разных регионах и городах России. Например, ИСПДн облачного провайдера распределенная, так как серверы и клиенты находятся по всей стране.
  • Городские, все части которых находятся в пределах одного города.
  • Корпоративные распределенные, все части которой принадлежат одной компании. Они могут находиться как в одном, так и в нескольких городах. Например, если у компании много филиалов по всей стране, ее ИСПДн считается корпоративной распределенной.
  • Кампусные, все части которых находятся в пределах близко расположенных зданий. Так, ИСПДн завода будет кампусной.
  • Локальные, все части которых находятся в одном здании. Обычно это ИСПДн небольших локальных фирм.

Низкий уровень защищенности по какому-либо параметру не означает, что система всегда будет уязвима и данные в ней хранить опасно — это всего лишь накладывает на владельца системы дополнительные обязанности по защите данных.

Группы ИСПДн по наличию выхода в интернет:

  • Многоточечный выход в сеть, когда выход в интернет есть у нескольких компьютеров и серверов.
  • Одноточечный выход в интернет, когда все компьютеры и серверы выходят в интернет через один общий шлюз.
  • Выхода в интернет нет, например, если на заводе построена закрытая сеть.

Группы ИСПДн по доступным операциям с данными:

  • Разрешены только чтение и поиск — база сформирована, дополнять и изменять ее нельзя.
  • Дополнительно разрешена запись данных, их удаление и сортировка.
  • Дополнительно разрешена модификация и передача данных — так работают практически все системы.

Группы ИСПДн по разграничению доступа к персональным данным:

  • Доступ к персональным данным есть только у их субъекта и у отдельных сотрудников оператора персональных данных.
  • Доступ к персональным данным есть у всех сотрудников оператора.

Формально может существовать система, в которой доступ к персональным данным есть у любого постороннего человека. Но это запрещено законом — персональные данные не должны находиться в открытом доступе.

Группы ИСПДн по уровню обезличивания данных:

  • Пользователи ИСПДн получают только обезличенные данные, их нельзя связать с конкретным человеком. При этом в самой системе данные хранятся в необезличенном виде, поэтому остаются персональными.
  • Данные обезличивают при передаче в другие организации, но сотрудники внутри организации могут получить их необезличенными.
  • Данные не обезличивают даже для передачи.

Группы ИСПДн по объему предоставления базы данных другим компаниям:

  • По запросу оператор предоставляет другой компании полный доступ к базе персональных данных.
  • По запросу оператор выдает доступ только к части данных, например, к информации об отдельных пользователях.
  • Оператор не предоставляет никакой информации, хранит базу только для себя и не передает ее третьим лицам.

Предположим, у вашей компании филиалы в разных городах, доступ к интернету многоточечный, доступ к данным разрешен только некоторым сотрудникам, разрешены только чтение и поиск данных, система выдает обезличенные данные и компания хранит данные только для себя. Получается, что по одному критерию у вас низкий уровень защищенности, по двум средний, а по остальным трем — высокий. И у вашей ИСПДн будет средний общий уровень защищенности.

Когда общий уровень защищенности подсчитан, его используют для оценки угроз, актуальных для ИСПДн. Это нужно сделать, чтобы понять, как защищать персональные данные.

Оценка угроз — сложная процедура со множеством технических тонкостей, которая подробно описана в двух документах ФСТЭК: «Методике определения актуальных угроз» и «Базовой модели угроз безопасности».

Оценку проводит IT-специалист компании: штатный или на аутсорсе.

Но мало знать уровень защищенности ИСПДн и актуальные угрозы — конкретные технические требования к защите системы зависят еще и от уровня защищенности персональных данных.

Уровни защищенности персональных данных и классы защищенности ИСПДн

До 11 марта 2013 года все, кто работал с персональными данными, обязаны были провести классификацию своей ИСПДн. Для этого нужно было собрать специальную комиссию и тщательно проанализировать систему. Теперь приказ, который обязывал это делать, отменен. Соответственно, классификация ИСПДн по защищенности тоже больше не действует.

Зато теперь уровни защищенности появились у персональных данных. Всего их четыре — чем выше уровень, тем более серьезная защита нужна данным. Уровни защищенности описаны в 1119 постановлении Правительства, меры защиты — в 21 приказе ФСТЭК.

Как определить уровень защищенности персональных данных в зависимости от того, какие данные вы храните и какие угрозы актуальны для вашей ИСПДн

Мы подробно разбирали уровни защищенности, категории персональных данных и типы актуальных угроз в статье о защите персональных данных в облаке.

Если вам нужно хранить данные третьего уровня защищенности и выше, необходимо провести аттестацию ИСПДн во ФСТЭК.

В ходе аттестации ФСТЭК проверяет вашу систему: смотрит, правильно ли вы оценили угрозы, используете ли подходящие технические средства защиты, обеспечили ли достаточную безопасность персональным данным.

По итогам проверки выдается аттестат, который подтверждает, что ваша ИСПДн достаточно надежна.

Если вам нужно пройти аттестацию, эксперты Mail.Ru Cloud Solutions могут с этим помочь. Мы подскажем, как привести свою ИСПДн в соответствие с требованиями ФСТЭК, правильно заполнить все документы и пройти проверку.

Что нужно знать про ИСПДн

  1. ИСПДн — это информационные системы персональных данных. В ИСПДн входят как сами персональные данные, так и ПО для их обработки и защиты.
  2. ИСПДн делят на группы по нескольким критериям: территориальному, наличию выхода в интернет и другим.
  3. У разных групп разная базовая защищенность — она нужна, чтобы определить актуальные для системы угрозы и понять, как именно защищать персональные данные.
  4. Классы защищенности ИСПДн упразднены с 2013 года.

    Теперь есть уровни защищенности самих персональных данных — они зависят от типа данных и актуальных угроз.

Елена Шпрингер

Источник: https://mcs.mail.ru/blog/chto-takoe-informacionnye-sistemy-personalnyh-dannyh

Читать по теме:Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям во 152-ФЗКак выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдатьЗащита персональных данных в облаке: как сделать все по закону 152-ФЗ

Источник: https://zen.yandex.ru/media/mcs/chto-takoe-ispdn--informacionnye-sistemy-personalnyh-dannyh-i-zachem-v-nih-stoit-razobratsia-5ede89a95d7aac747714e75e

Акт определения уровня защищенности персональных данных образец 2020

Акт определения уровня защищенности персональных данных образец 2020

Дата: Акт определения уровня защищенности персональных данных является одним из документов содержащий сведения о реализуемых требованиях к защите персональных данных.

Акт определения уровня защищенности персональных данных Акт определения уровня защищенности персональных данных не является документом конфиденциального характера.

Оператор персональных данных обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, содержащий сведения о реализуемых требованиях к защите персональных данных.

Для определения уровня защищенности персональных данных на предприятии (организации) должна быть создана комиссия. В состав комиссии обязательно должен быть включен ответственный за организацию обработки персональных данных.

Комиссия должна быть назначена приказом руководителя. По результатам определения уровня защищенности персональных данных должен быть оформлен акт. Акт определения уровня защищенности персональных данных должен утверждаться руководителем предприятия (председатель и члены комиссии назначаются приказом о проведении внутренней проверки).

Акт должен быть подписан всеми членами комиссии. Акт определения уровня защищенности персональных данных составляется для каждой информационной системы персональных данных (ИСПДн) и прилагается к уведомлению об обработке (если уведомление необходимо). Для каждой ИСПДн должна быть определена ее структура, в которой определяются характеристики режима обработки.

На основании полученных данных каждой ИСПДн должен быть определен необходимый уровень защищенности персональных данных.

Правильно выявить уровень защищенности необходимо для того, чтобы определить требования для обеспечения защиты ИСПДн.

проводится в соответствии с постановлением Правительства РФ от 01.11.2012 №1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

. В акте указывается:

  1. Уровень защищенности персональных данных.
  2. Тип актуальных угроз для ИСПДн;
  3. Обрабатываемые в ИСПДн персональные данные;
  4. Объем обрабатываемых персональных данных;

Обрабатываемые категории персональных данные в ИСПДн:

  • общедоступные персональные данные — персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных;
  • специальные категории персональных данных — данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
  • биометрические персональные данные — данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором персональных данных для установления личности субъекта персональных данных, и не относящиеся к специальным категориям персональных данных;
  • иные категории персональных данных — данные, не относящиеся к специальным, биометрическим и общедоступным персональным данным.

Довольно редко встречаются ИСПДн, в которых обрабатываются персональные данные 3 категории.

Обработка и защита персональных данных, или Как угодить регуляторам. Часть 2

Рубрика: Закон есть закон

ЮРИЙ КНЯЗЕВ, ООО «Агентство Р.О.С.долгЪ», начальник отдела информационной безопасности, Обработка и защита персональных данных, или Как угодить регуляторам. Часть 2 Продолжим разбираться с вопросом о персональных данных [1].

Что такое модель угроз безопасности персональных данных? Для чего она нужна и как ее разработать? Основные мероприятия по защите документов, содержащих персональные данные Документы (как в бумажном, так и в электронном виде), содержащие персональные данные, должны храниться отдельно от остальных документов в сейфе или в закрываемом на ключ металлическом шкафу (ящике).

Кроме того, нельзя хранить в одном месте персональные данные, цели обработки которых различны.

Например, в банке нельзя хранить в одном сейфе или в одной информационной системе личные дела сотрудников и клиентов. Доступ в места хранения и обработки документов, содержащих персональные данные, должен быть ограничен (помещение должно запираться на ключ, быть оснащено техническими средствами охраны) и регламентирован.

Для этого создается документ

«Перечень помещений, предназначенных для обработки ПДн»

.

Для этого разрабатывается

«Инструкция о порядке физической охраны помещений, содержащих носители персональных данных»

. В инструкции указываются порядок доступа в помещение в начале рабочего дня, порядок закрытия помещения при окончании рабочего дня, какие действия необходимо предпринять принештатных ситуациях. Должен быть разработан и утвержден руководителем организации перечень лиц, имеющих доступ к документам, содержащим персональные данные.

Он может быть определен в

«Положении о разграничении прав доступа к персональным данным»

. В положении надо обязательно указать список лиц, допущенных к автоматизированной или неавтоматизированной обработке ПДн, а также их уровень прав доступа к ПДн, разрешенные действия (сбор, хранение, обновление, изменение, уничтожение, распространение и т.д.).

Сотрудники, работающие с документами, содержащими персональные данные, должны быть ознакомлены с порядком обработки ПДн. Для этого разрабатывается «Инструкция по обработке персональных данных» как с использованием средств автоматизации, так и без них.

Ознакомить работников с инструкцией необходимо под роспись.

В инструкции прописываются порядок предоставления доступа к обрабатываемым ПДн, предоставление информации по обращению субъекта ПДн, обязанности работника, допущенного к обработке ПДн, и т.д. Документы, содержащие ПДн, просто так выкинуть в мусорную корзину нельзя, для этого необходимо разработать

«Инструкцию по уничтожению носителей, содержащих персональные данные»

.

АКТ определения уровня защищённости информационной системы персональных данных ООО «ДМ»

1 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н.

В. Иванова 20 г. М.П. (Московская область, г.

Жуковский, ул. Солнечная, дом 6, оф.

95) В соответствии с п. 5

«Требований к защите персональных данных при их обработке в информационных системах персональных данных»

(далее Требования), утверждённых постановлением Правительства от 1 ноября 2012 г.

1119, и Политикой в отношении обработки персональных данных информационная система ООО «ДМ» (далее Оператор) является информационной системой, обрабатывающей иные категории персональных данных, а также информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками Оператора.

В соответствии с пп. 6 и 7 Требований и Актом оценки потенциального вреда субъектам персональных данных для информационной системы Оператора актуальны угрозы безопасности персональных данных 3-го типа.

С учётом того, что информационная система Оператора обрабатывает персональные данные менее чем субъектов персональных данных, необходимо обеспечение 4-го уровня защищённости персональных данных при их обработке в информационной системе Оператора.

Ответственный за организацию обработки персональных данных Иванова Н. В.2 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н. В. Иванова 20 г. М.П. АКТ оценки потенциального вреда субъектам персональных данных ООО «ДМ» (Московская область, г.

Жуковский, ул. Солнечная, дом 6, оф. Ответственный за организацию обработки персональных данных Иванова Н.

В.3 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н. В. Иванова М.П.

ЖУРНАЛ регистрации фактов нарушения и восстановления работоспособности оборудования или ИСПДн ООО «ДМ» 4 п/п Наименование ИСПДн, описание нарушения работоспособности оборудования или ИСПДн Дата и время обнаружения начала нарушения работоспособности Выявленная причина нарушения работоспособности Дата и время восстановления работоспособности Сотрудник, проводивший восстановление работоспособности оборудования или ИСПДн Фамилия Подпись5 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н.

В. Иванова М.П. ЭЛЕКТРОННЫЙ ЖУРНАЛ УЧЁТА обращений субъектов персональных данных и их законных представителей6 п/п Дата обращения Номер, реквизиты входящего документа ФИО запрашивающего лица Цель обращения Действия по результатам обращения Подпись ответственного лица Примечание7 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н.

3 й уровень защищенности персональных данных. Акт определения уровня защищенности пдн при их обработке в испдн

В данном посте хотелось бы осветить такой документ, как Акт определения уровня защищенности ПДн при их обработке в ИСПДн . Это, если можно так сказать, перерождение Акта классификации ИСПДн .

Основной камень преткновения, который я встретил, это не совсем понятная картина в том, что является законодательным инструментом в написании данного акта.

Дело в том, что ранее этот акт классификации ИСПДн писался на основании приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20

«Об утверждении порядка проведения классификации информационных систем персональных данных»

, который и утверждает порядок классификации.

Но издан этот приказ в соответствии с пунктом 6 Постановления Правительства №781 от 17 ноября 2007 г., которое утратило силу в связи с выходом Постановления Правительства № 1119 от 1 ноября 2012.

Таким образом, приказ действующий, а вышестоящий документ – нет. В свою очередь в ПП 1119 нет привязки к категории ИСПДн, однако есть привязка к уровню защищенности персональных данных, который должен быть обеспечен при их обработке в ИСПДн.Итак начать нужно с названия документа:

«Акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных «**********»

Его я подсмотрел у Андрея Прозорова и оно меня целиком и полностью устроило.

Источник: https://arbitradv.ru/akt-opredelenija-urovnja-zaschischennosti-personalnyh-dannyh-obrazec-2019-85876/

Акт классификации ИСПДн

Применяется следующая градация:

  1. более чем 100 000 субъектов ПДн;
  2. менее чем 100 000 субъектов ПДн.

Тип актуальных угроз для ИСПДн:

  1. угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
  2. угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
  3. угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

По типу информационные системы персональных данных, описываемые в акте классификации ИСПДн, делятся на типовые и специальные. Типовые ИСПДн – информационные системы, в которых требуется обеспечить только конфиденциальность ПДн.

Большинство существующих ИСПДн – специальные.

Это связано с тем, что кроме конфиденциальности также важно, чтобы ПДн были всегда доступны для обработки, целостны и достоверны. Для всех специальных систем необходимо разработать «Частную модель актуальных угроз».

Классификация информационных системы персональных данных по структуре:

  1. Автономные. Представляет собой одно автоматизированное рабочее место (компьютер).
  2. Распределенные. Автоматизированные рабочие места или локальные сети, связанные между собой при помощи технологий удаленного доступа.
  3. Локальные. Автоматизированные рабочие места (АРМ), объединенные в локальную сетью.

По режиму обработки персональных данных в системе ИСПДн делятся на однопользовательские и многопользовательские.

Однопользовательские системы – большая редкость. Как правило, даже за одним автономным рабочим местом работают минимум два человека (на случай отпусков и болезней). Классификация многопользовательских ИСПДн делятся на:

  1. С разграничением прав доступа. Каждый пользователь имеет доступ к строго определенной части информации в системе.
  2. Без разграничения прав доступа. В таких системах все пользователи имеют доступ ко всей информации.

По месту нахождения ИСПДн делятся на:

  1. Системы, которые полностью находятся в пределах РФ;
  2. Системы

Уровни защищенности персональных данных

Цветовая схема: Шрифт Размер шрифта Кернинг Изображения: Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы: 1 группа — специальные категории ПДн, персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

2 группа — биометрические ПДн, сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

3 группа — общедоступные ПДн, персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных», то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом; 4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

В соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждёнными Постановлением Правительства РФ от 01.11.

2012 № 1119, для ИСПДн актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Угрозы 1-го и 2-го типа не актуальны в связи с тем, что работа ИСПДн планируется на лицензионном системном программного обеспечении, в защищённой информационной среде, созданной на основе сертифицированных средств защиты информации.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей: Тип ИСПДн Сотрудники оператора Количество субъектов Тип актуальных угроз 1 (НДВ ОС) 2 (НДВ ПО) 3 (Без НДВ) ИСПДн-С (специальные) Нет > 100 000 УЗ-1 УЗ-1 УЗ-2 Нет < 100 000> УЗ-1 УЗ-2 УЗ-3 Да ИСПДн-Б (биометрические) УЗ-1 УЗ-2 УЗ-3 ИСПДн-И (иные) Нет > 100 000 УЗ-1 УЗ-2 УЗ-3 Нет < 100 000> УЗ-2 УЗ-3 УЗ-4 Да ИСПДн-О (общедоступные) Нет > 100 000 УЗ-2 УЗ-2 УЗ-4 Нет < 100 000> УЗ-2 УЗ-3 УЗ-4 Да Далее на каждую ИСПДн заполняется АКТ КЛАССИФИКАЦИИ ИСПДн () Защита персональных данных, семинар 10.05.2018 () (с) 2017 Ханты-Мансийский район, официальный сайт администрации

Все о правах человека
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: