Персональные данные таблица

Статья на тему: "Персональные данные таблица" с полным описанием тематики и ответами на интересующие вопросы. За консультацией можно обратиться к дежурному консультанту.

№ 11. Уровни защищенности персональных данных

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы.

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

Источник: http://data-sec.ru/personal-data/protection-level/

№1. Что такое персональные данные?

История вопроса о защите личных (персональных) данных начинается в 1976 году, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы. В России данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2006 году Государственной думой РФ был принят базовый закон — Федеральный закон № 152-ФЗ «О персональных данных», который чётко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты.

Согласно базовому закону персональными данными является абсолютно любая информация, которая относится к определённому или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.

Существует четыре вида персональных данных, которые разделяются по степени информативности:

Первый вид — специальные категории персональных данных, которые включают в себя информацию о национальной и расовой принадлежности субъекта, о религиозных либо философских убеждениях, информацию о здоровье и интимной жизни субъекта.

Второй вид содержит информацию, по которой можно идентифицировать человека и получить о нем дополнительные сведения, например, ФИО, адрес и сведения о заработках.

Персональные данные третьего вида — это информация, позволяющая только определить субъекта, то есть, например, фамилия, имя и дата рождения.

К четвертому виду относятся общедоступные или обезличенные персональные данные. Общедоступными являются ПДн, которые в соответствии с законодательством не могут подвергаться сокрытию, то есть не могут быть конфиденциальными, например, сведения о доходах представителей органов государственной и муниципальной власти, либо ПДн, доступ к которым предоставлен с разрешения самого субъекта. Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.

Данная статья отредактирована с учетом изменений Федерального закона «О персональных данных», вступивших в силу 27 июля 2011 года.


Источник: http://data-sec.ru/personal-data/what-is-it/

Уровни защищенности персональных данных вместо классов

Постановление Правительства РФ №1119 от 01.11.2012 г. похоронило уже ставшими всем привычными классы информационных систем персональных данных.

В место классов, согласно новому постановлению, устанавливаются четыре уровня защищённости персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищённости производится в зависимости от типа персональных данных, который обрабатывает информационная система, типа актуальных угроз, количества обрабатываемых информационной системой субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.

Информационные системы персональных данных (ИСПДн), согласно 5 пункту Постановления №1119 подразделяются на 4 группы:

    Cпециальные ИСПДн

если в ИСПДн обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

если в ИСПДн обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;

если в ИСПДн обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;

Читайте так же:  В какой срок можно подать апелляционную жалобу

если в ИСПДн обрабатываются персональные данные субъектов персональных данных, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами, обработка подразделяется на 2 вида:

  • обработка персональных данных сотрудников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся сотрудниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, Постановлением №1119 определены только 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

К ак установить тип актуальных угроз не регламентировано. Требования ПП-1119 не предлагают никаких методов и способов их нейтрализации. Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно — придется обращаться в вышестоящую организацию или к консультанту. Проще всего пойти по пути наименьшего сопротивления, т.е. определить тип актуальной угрозы 3 типа, и забыть про недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, но это необходимо будет обосновать. Весь вопрос как?, возвращаясь к началу абзаца.
Тема актуальности угроз информационных систем персональных данных очень важна, ведь от правильно описанных угроз зависит насколько грамотно будет защищена система, а также сколько будет стоить защита для оператора персональных данных.

Е сли Вы определились с исходными данными для конкретной ИСПДн, в том числе типом актуальных угроз, то можете определить её уровень защищенности. Для удобства определения уровня защищенности воспользуйтесь следующей таблицей, которая сделана на основе ПП-1119:

Тип актуальных угроз

Нет > 100 000 УЗ-1 УЗ-1 УЗ-2 Нет 100 000 УЗ-1 УЗ-2 УЗ-3 Нет 100 000 УЗ-2 УЗ-2 УЗ-4 Нет В зависимости от выбранного уровня защищенности ПДн, ПП-1119 определены ряд требований по защите персональных данных, которые организуются и проводятся оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Контроль за выполнением требований должен проводиться не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

О пределившись с требованиями по защите персональных данных в соответствии с ПП-1119, можно переходить к выбору организационных и технических мер по обеспечению безопасности персональных данных, исходя из требований Приказа ФСТЭК России №21 от 18.02.2013г., направленных на нейтрализацию актуальных угроз безопасности персональных данных.

Ч то делать со средствами защиты информации, сетификаты на которые были выданы ранее для определённых классов ИСПДн?

Источник: http://www.rskb48.ru/stati/urovni.html

Виды персональных данных

Защита персональных данных
с помощью DLP-системы

П редоставлять свои персональные данные и давать согласие обрабатывать их зачастую нужно в самых различных инстанциях – в банках, кредитных организациях, во время внесения информации в регистрационные формы на некоторых интернет-ресурсах. Многие, не задумываясь, соглашаются указывать личные данные, не догадываясь при этом о последствиях, которые могут произойти при использовании этой информации недобросовестными лицами. Поэтому важно знать, какие виды персональных данных существуют, кому и при каких обстоятельствах можно их предоставлять, чтобы не попасть в очень неприятную историю.

Законодательное регулирование

Персональные данные подпадают под действие многих государственных нормативов, основной из которых – Конституция РФ. Основополагающим законом в этой сфере считается ФЗ № 152, действующий с 27.01.06 г. В этом документе разъясняется термин «персональные данные», а также из чего состоит это понятие. Выполнение требований этого норматива – прямая обязанность юридических и частных лиц.

К персональным данным (ПД) относят сведения, характеризующие прямо или косвенно субъекта – физическое лицо. По таким данным можно наиболее точно установить личность конкретного гражданина.

Конституция РФ (ст. 23–24) гарантирует физлицам право на соблюдение тайны их частной жизни, создает все необходимые предпосылки для неприкосновенности и необходимой защиты. Владельцу ПД принадлежит все, из чего состоит это понятие, в связи с этим такая информация не должна контролироваться третьими лицами или правительственными органами.

Физлица самостоятельно распоряжаются своими данными и вольны решать – воспрепятствовать их распространению или предоставить по требованию. Государство предоставляет определенные гарантии и защиту для получения этой возможности. В з-не № 152-ФЗ указаны условия, правила и круг лиц, которые могут использовать ПД кроме их владельца.

Носитель ПД может разрешить операторам получать и осуществлять обработку его личной информации. Это позволит на законных основаниях выполнять определенные действия с ней. Во время оформления заявлений на получение займа, при оформлении на работу, при проведении анкетирования физическое лицо самостоятельно предоставляет свое согласие, добровольно подписывая соглашение о разрешении проверять его личные данные.

Служебные лица могут воспользоваться доступом к определенному объему личной информации, необходимой для выполнения конкретных действий. У них нет права на хранение и применение ПД после достижения результата. В случае нарушения такого требования оператор отвечает за их намеренное разглашение.

В определенных случаях используется особое требование по работе с ПД, если они:

  • необходимы для решения вопросов семейного или личного характера (в случае если распространение данных не приводит к ущемлению прав других лиц);
  • находятся в архивной документации;
  • принадлежат к данным, составляющим государственную тайну;
  • должны быть предоставлены по судебному акту.

Разновидности ПД

В Федеральном з-не № 152 обозначены конкретные виды ПД. Они могут классифицироваться по степени секретности, сложности их сбора, возможности применения третьей стороной. Их подразделяют на следующие виды:

Общие

К общим относят персональную информацию, составляющую базовые данные о ее носителе:

  • фамилию, имя, отчество;
  • место регистрации и жительства;
  • информацию из паспорта;
  • сведения об имеющемся образовании;
  • информацию о месте работы;
  • сведения о получаемых доходах и др.

Взятые по отдельности данные общего характера не все могут быть отнесены к информации о человеке, которая может считаться персональной. К примеру, в законе не содержится определенных трактовок относительно того, можно ли считать одной из составляющих ПД номер телефона физлица. Как разъясняют в Роскомнадзоре, эти данные не являются информацией, позволяющей произвести точную идентификацию человека, номер не персонален. Но при совместном использовании с фамилией, именем, данными о прописке он составляет ПД.

Читайте так же:  Иск о пропуске срока исковой давности

Информация о человеке, являющаяся общей, указана в паспорте, ее вносят в военный билет, в документ об образовании, а также в личную карту сотрудника предприятия, трудовую книжку и др. Чтобы использовать такие данные, не нужно брать у сотрудника письменное разрешение с целью их получить. Достаточно того, чтобы человек косвенно, путем проставления галочки в соответствующем поле, подтвердил право на такие действия со стороны получателя этой информации в письменно составленной или онлайн-анкете.

Получить такие ПД очень просто, а это зачастую приводит к проблемам: начинают рассылать навязчивые рекламные предложения или, еще хуже, пытаются шантажировать, подделывать заявки на получение займа и др.

От неразглашения личные данные каждого физлица, содержащие в себе определенные разновидности секретных сведений (об усыновлении, наличии заболеваний и др.), защищаются ст. 137 УК РФ.

Биометрические

Есть персональные данные, которые характеризуют носителя по биологическому и физиологическому принципу. К ним относят:

  • дактилоскопические;
  • анализ ДНК;
  • группу крови;
  • рост, цвет глаз, вес и др.

К биометрическим персональным данным причисляют информацию, получаемую в результате видео- и фотозаписи с участием человека. Данные биометрии наиболее часто востребованы во время проведения лечения, при оформлении на работу в госструктуры, при изготовлении загранпаспорта и визовых документов.

Специальные

К специальным ПД отнесены национальная принадлежность и раса, а также вероисповедание, убеждения философского характера, информация о судимостях, состоянии здоровья, предпочтениях в сексуальной, интимной жизни. Эти сведения можно найти в личных делах, медицинской документации и пр. Они необходимы во время проведения политических мероприятий, используются при вступлении в ряды вооруженных сил. Чтобы третьи лица могли получить доступ и воспользоваться этими ПД, необходимо получить разрешение их владельца.

Обезличенные

К обезличенным данным относят ПД, имеющие общую доступность. Их можно найти в адресных книгах, справочной документации, в средствах массовой информации. Информация, являющаяся общедоступной, может легко быть использована заинтересованными лицами. Общедоступными являются данные о материальном положении политических деятелей, представителей власти, чиновников, занимающих руководящие посты.

Персональные данные – использование на предприятии

В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).

Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.

Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.

В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.

Обработка ПД

Целью, которую преследует обработка и хранение ПД на предприятии, является необходимость правильно реализовать рабочую активность компании. Обработка ПД необходима для:

  • фиксации факта приема сотрудника на работу;
  • удостоверения оснований для продвижения по карьерной лестнице;
  • подтверждения оснований для выплаты зарплаты;
  • осуществления контроля выполнения производственных заданий и работ.

Работникам компании должна быть доступна информация о том, каким образом осуществляется хранение и обработка их личных данных, поэтому наниматель обязан ознакомить их с данной информацией. Подтверждением того, что сотрудники были уведомлены об этом, является личная подпись каждого из них.

Типы персональных данных на предприятии

На предприятии необходимо собрать два типа ПД:

  • требуемых для заключения трудового договора;
  • запрашиваемых и формируемых непосредственно работодателем.

ПД, которые хранятся на предприятии в личных делах по каждому работнику, обычно содержат данные:

  • о семейном статусе и отдельных членах семьи (иждивенцы, дети, возрастные данные, количество, данные о состоянии здоровья и др.);
  • копии документов по пенсионному государственному страхованию;
  • о конкретном сотруднике (паспортные данные, профессия, квалификационные характеристики и др.).

Наниматель должен создать и утвердить внутренний нормативный акт, который описывает порядок хранения ПД в виде Положения о ПД или Инструкции. Данные нормативы должны быть доведены до сведения работников, которые ответственны за сбор и обработку персональной информации. Они должны неукоснительно соблюдать все требования, изложенные в таких документах.

При соблюдении всех формальностей на предприятии по сбору, хранению и использованию ПД они будут максимально защищенными.

Ответственность за разглашение

152-й закон, который призван защищать персональные данные физических лиц, предусматривает исключительно административный вид ответственности в случае разглашения ПД на предприятии. Соответственно, если компания не способна предоставить своим наемным работникам полную защиту личных данных, работодатель может быть наказан только штрафом. Данное наказание выражается незначительными суммами.

Штраф, который должен быть наложен на работодателя при выявлении нарушений такого характера, может составить в пределах 5–10 тысяч рублей. Но это касается единичного нарушения. Обычно при проверках выявляют значительное количество такого рода проблем, соответственно, и суммы штрафов при этом растут.

Но финансовые затраты – это не основное последствие неправильного использования и хранения ПД. Такие факты сказываются на репутационных показателях компании. Если сотрудники соглашаются на обработку персональной информации, они должны быть уверены, что предприятие гарантирует ее правильное хранение и использование.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/vidy-personalnyh-dannyh/

Перечень персональных данных подлежащих защите

Защита персональных данных
с помощью DLP-системы

П еречень персональных данных, нуждающихся в защите в информационных системах персональных данных (ИСПДн), должен быть изложен организацией в ее Концепции информационной безопасности. Оператор ПД должен обеспечить эффективное функционирование системы защиты персональной информации на своем объекте, контролировать выполнение норм закона о защите ПД, определить лиц, которые обеспечивают сбор, сохранность, передачу этой информации. С этой целью нужно определить, какие данные входят в перечень защищаемых, и разработать систему их защиты исходя из видов используемых ПД.

Какие данные должны быть защищены

Объектами защиты являются данные, которые обрабатываются в ИСПДн. К таким объектам относят:

  • информацию технологического характера;
  • программные продукты и средства информационной обработки;
  • средства информационной защиты;
  • источники и каналы по обмену данными;
  • объекты, помещения с хранящимися ИСПДн.
Читайте так же:  Правовое обеспечение гражданско правовой ответственности

Список таких объектов на предприятии должен составляться по результатам внутреннего информационного и технического аудита и охватывать анализ получаемых, обрабатываемых и хранящихся данных. Это необходимо для создания устойчивой системы защиты ПД.

Обрабатываемая информация

Перечень персональной информации каждого субъекта включает в себя основные сведения о нем. К специальным данным относят:

  • национальную принадлежность;
  • расовые признаки;
  • политические взгляды;
  • вероисповедание;
  • отношение к алкогольным, наркотическим, психотропным веществам;
  • семейное положение;
  • состояние здоровья и интимной жизни.

Перечень ПД работников предприятия

На каждом предприятии, в любой организации обрабатываются большие объемы ПД. К ним относятся:

  • ФИО;
  • информация о рождении;
  • адрес прописки по паспорту;
  • адрес проживания (фактический);
  • данные паспорта;
  • информация о полученном образовании (названия образовательных учреждений, специальность, срок обучения, данные из документов, подтверждающих учебу в указанных заведениях);
  • контактные номера телефонов, адреса e-mail, Skype и т. д.;
  • лингвистические знания (иностранные языки);
  • данные с предыдущих мест работы/службы;
  • сведения о трудовом стаже;
  • сведения о трудовом договоре (серийный номер документа, дата и время его оформления и выдачи, тип труда, срок действия договора о труде, наличие у сотрудника льгот, длительность отпусков, график рабочего дня и перерывов, система выдачи заработной платы);
  • оклад;
  • информация о воинском учете (звание, категория запаса, категория годности);
  • индивидуальный номер налогоплательщика (ИНН);
  • информация о перенесенных и хронических заболеваниях;
  • информация о заслуженных наградах, званиях, орденах, медалях;
  • данные о командировках.

Технологическая информация

Защите подлежат следующие виды технологической информации:

  • файлы конфигурации, системные настройки;
  • пароли, ключи доступа, сведения аутентификации;
  • информация о составе и структуре средств защиты данных;
  • все ресурсы, базы данных, таблицы, которые содержат информацию о сотрудниках, планы и схемы эвакуации и т. д.

Программно-технические средства

В этих системах осуществляются обработка, хранение, передача, использование ПД. Их защита является также актуальным вопросом для каждого оператора.

К таким средствам относят:

  • программное обеспечение – общее, специальное, системы управления базами данных, операционные системы, данные удаленных серверов, сведения из систем «клиент-сервер»;
  • все резервные копии ПО;
  • надстройки управляющих систем ИСПДн;
  • автоматизированные компьютеры и серверы, на которых хранятся и обрабатываются ПД;
  • маршрутизаторы, прочее сетевое оборудование.

СЗПДн

Средства защиты персональной информации (СЗПДн) являются аппаратно-программными ресурсами, к ним относят:

  • средства управления пользовательским доступом;
  • средства обработки вводимой информации, регистрационные данные пользователей;
  • средства, которые обеспечивают сохранность данных;
  • защитное ПО – антивирусы, антишпионы, фаерволы и т. д.;
  • сетевое окружение;
  • криптографические ключи защиты ПД.

Помещения с размещенными ИСПДн

Офисные помещения также относятся к объектам, которым нужно обеспечить защиту. В них хранятся и проходят обработку данные, оборудование, физические носители ПД.

Каналы передачи и обмена информацией, телекоммуникационные средства

Видео удалено.
Видео (кликните для воспроизведения).

В случае передачи обрабатываемых сведений или информации технологического характера каналами информобмена, телекоммуникационными линиями они в обязательном порядке должны быть защищены.

  • собирать и обрабатывать только те сведения сотрудников, которые необходимы для обеспечения рабочего процесса;
  • хранить в базе и использовать только те данные работника, включающие в себя сведения, предоставленные им самим либо добавленные с его согласия;
  • не принимать какие-либо незаконные решения касательно работника на основании ПД;
  • нести ответственность за сохранность сведений о работниках.

При получении и обработке сведений о сотрудниках работодатель обязан:

  • не распространять эти сведения;
  • предоставлять доступ к информации только лицам, уполномоченным на это;
  • передавать конфиденциальную информацию только с согласия сотрудника.

Сотрудник предприятия имеет право:

  • получать сведения о хранении своих ПДн;
  • иметь допуск к базе своих данных;
  • вносить поправки в БД (только в личные сведения).

Права о защите персональной информации отстаиваются гражданином в судебном порядке.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/

Приказ ФСТЭК России №21

Основные меры по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения установленных Правительством РФ и ФСТЭК России требований к защите персональных данных для каждого из уровней защищенности

Определение типа актуальных угроз безопасности персональных данных

Законом о персональных данных определено, что под типом актуальных угроз безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в ИСПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Согласно п.6 Требований к защите персональных данных при их обработке в ИСПДн, утвержденных постановлением Правительства РФ от 01.11.2012 №1119, установлены 3 (три) типа актуальных угроз безопасности персональных данных. Самый низкий тип угроз – третий, самый высокий – первый.

  • наличие недокументированных (недекларированных) возможностей (НДВ) в системном программном обеспечении (ПО), используемом в ИСПДн;
  • наличие НДВ в прикладном ПО, используемом в ИСПДн.

Таблица 1. Тип актуальных угроз

Тип актуальных угроз
http://fstec21.blogspot.com/2017/07/type-actual-security-threats.html

Уровни защищенности персональных данных

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

2 группа — биометрические ПДн, сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

3 группа — общедоступные ПДн, персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных», то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.
Читайте так же:  Оценка результатов судебной экспертизы

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

В соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждёнными Постановлением Правительства РФ от 01.11.2012 № 1119, для ИСПДн актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Угрозы 1-го и 2-го типа не актуальны в связи с тем, что работа ИСПДн планируется на лицензионном системном программного обеспечении, в защищённой информационной среде, созданной на основе сертифицированных средств защиты информации.

Источник: http://hmrn.ru/about/informatsionnye-tekhnologii/urovni-zashchishchennosti-personalnykh-dannykh.php

Защита персональных данных — из 2011 в 2013 или изменения длиной в два года

Два года назад Федеральным законом от 25.07.2011 № 261-ФЗ были внесены существенные изменения в принципы организации защиты персональных данных (далее — ПДн). Однако во внесенных изменениях были заложены основные принципы, о которых было рассказано в статье «Защита персональных данных — изменения 2011» — см. /document.jsp? >

Определены новые требования к защите ПДн

В настоящее время основными подзаконными актами, определяющими требования к организации защиты ПДн, являются Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — Постановление № 1119), пришедшее на смену Постановлению Правительства РФ от 17.11.2007 № 781, и приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по безопасности персональных данных при их обработке в информационных системах персональных данных» (далее — Приказ ФСТЭК России № 21). Приказ был зарегистрирован в Минюсте России 14.05.2013 (№ 28375) и пришел на смену приказу ФСТЭК России от 05.02.2010 № 58. Проанализируем внесенные изменения.

Типы угрозы

Основной целью при организации защиты персональных данных является нейтрализация актуальных угроз в информационной системе (далее — ИС), определенных в соответствии с частью 5 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

Напомним, что актуальные угрозы определяются с учетом содержания персональных данных, характера и способов их обработки. В соответствии с пунктом 6 Постановления № 1119: «Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия».

В отношении безопасности персональных данных различают угрозы трех типов:

— «Угрозы 1 типа. связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении.

— Угрозы 2 типа. связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении.

— Угрозы 3 типа. не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении. »

Справка

Недекларированные возможности — функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией недекларированных возможностей, в частности, являются программные закладки (РД «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999)).

Определение типа угроз ПДн, актуальных для информационных систем персональных данных (далее — ИСПДн), производится оператором с учетом оценки возможного вреда, который может быть причинен субъектам ПДн в случае нарушения требований Закона № 152-ФЗ, соотношением указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области ПДн.

Кроме установленных Постановлением № 1119 типов угроз, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки (ч. 6 ст. 19 Закона № 152-ФЗ).

Уровни защищенности

Постановлением Правительства РФ № 1119 установлены 4 уровня защищенности ПДн, которые должны быть обеспечены в зависимости от типа угрозы, категории обрабатываемых данных и количества ПДн. Рассмотрим возможные варианты от первого уровня, предъявляющего наиболее серьезные требования к защите ПДн, к наиболее низкому, четвертому, где требования минимальны (см. таблицу 1).

Таблица 1. Уровни защищенности ПДн в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119

Категория обрабатываемых ПДн

Количество обрабатываемых данных

Требования по защите (Постановление № 1119)

иные категории ПДН

специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн

специальные категории ПДн сотрудников организации

специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн

менее чем 100000

общедоступные ПДн, не являющихся сотрудниками оператора ПДн

иные категории ПДн, не являющихся сотрудниками оператора ПДн

специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн

общедоступные ПДн сотрудников оператора

общедоступные ПДн, не являющихся сотрудниками оператора ПДн

иные категории ПДн сотрудников оператора

иные категории ПДн, не являющихся сотрудниками оператора ПДн

специальные категории ПДн сотрудников организации

специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн

менее чем 100000

иные категории ПДн, не являющихся сотрудниками оператора ПДн

иные категории персональных данных сотрудников оператора

иные категории ПДн, не являющихся сотрудниками оператора ПДн

Справка

Специальные категории персональных данных — данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн.

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.

Общедоступные персональные данные — данные, полученные из общедоступных источников ПДн (в том числе, справочников, адресных книг). В соответствии с пунктом 1 статьи 8 Закона № 152-ФЗ в общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Читайте так же:  Подготовке постановлений пленума верховного суда

Проанализировав приведенную таблицу 1 можно предположить, что если оператором применяются программные средства (как системные, так и прикладные), прошедшие процедуру соответствия на отсутствие недекларированных возможностей, то тип угрозы будет 3, а, соответственно, необходимый уровень защищенности — 3-го или 4-го уровня, что будет зависеть от объема и категории обрабатываемой информации.

Как отмечалось выше, требования по защите ПДн зависят от уровня защищенности. Постановлением № 1119 установлены следующие требования (см. таблицу 2).

Таблица 2. Требования по защите ПДн в зависимости от уровня защищенности в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119

Требование по защите ПДн

1

2

3

4

Организация режима обеспечения безопасности помещений, в которых размещена ИС, препятствующая возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения

Обеспечение сохранности носителей персональных данных

Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей

Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

Назначение должностного лица (работников), ответственного за обеспечение безопасности ПДн в ИС

Ограничение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в данном журнале, необходимы для выполнения служебных (трудовых) обязанностей

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника по доступа к ПДн, содержащимся в ИС

Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИС, либо возложение на одно из структурных подразделений по обеспечению такой безопасности.

Конкретные требования к выбору средств защиты информации для системы защиты ПДн должны осуществляться оператором в соответствии с Приказом ФСТЭК России № 21.

Состав и содержание мер по обеспечению безопасности ПДн

Перечень мер по обеспечению безопасности ПДн, реализуемых в рамках системы защиты ПДн с учетом актуальных угроз безопасности, поименован в пункте 8 Приказа ФСТЭК России № 21.

Отметим некоторые из них:

  • идентификация и аутентификация субъектов доступа (пользователей) и объектов доступа (данные);
  • управление доступом субъектов доступа к объектам доступа;
  • регистрация событий безопасности;
  • антивирусная защита;
  • контроль (анализ) защищенности ПДн и т. п.

В приложении к Приказу ФСТЭК России № 21 приведен состав и содержание организационных и технических мер по обеспечению безопасности ПДн, необходимых для обеспечения каждого из уровней защищенности ПДн.

Соответственно, после установления уровня защищенности, необходимо определить базовый набор мер по обеспечению безопасности ПДн. Например, для минимального 4-го уровня такой набор состоит более чем из 30 мер.

Далее данный базовый набор мер подлежит адаптации с учетом структурно-функциональных характеристике ИС (в том числе, возможно исключение мер, непосредственно не связанных с информационными технологиями, не используемыми в ИС, или структурно-функциональными характеристиками, не свойственными ИС), утонению и дополнению мерами, обеспечивающими выполнение требований к защите персональных данных, установленных ими нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации.

Таким образом, в результате, основываясь на требованиях, предусмотренных в Приказе ФСТЭК России № 21, должен быть получен комплекс мер, необходимый и достаточный для защиты ПДн конкретного оператора в соответствии с требованиями действующего законодательства.

Следует отметить, что в случае изменения категории обрабатываемых данных, структурно-функциональных характеристик ИС разработанный комплекс мер подлежит пересмотру.

Также не следует забывать об оценке эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн, которая может проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Такая оценка должна проводиться не реже одного раза в три года.

О сертификации ЗПК «1С:Предприятие, версия 8.2z»

В целях соответствия требованиям законодательства РФ о защите персональных данных фирмой «1С» в 2010 году была проведена сертификация Защищенного программного комплекса (далее — ЗПК) «1С:Предприятие, версия 8.2z». Сертификатом соответствия № 2137 подтверждено, что ЗПК «1С:Предприятие, версия 8.2z» является программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну. Первоначальный срок действия сертификата установлен с 20.07.2010 по 20.07.2013.

В мае-июле 2013 года были проведены мероприятия по продлению действия ранее полученного сертификата соответствия. Действие сертификата № 2137 продлено до 20 июля 2016 года.

Полученным сертификатом № 2137 подтверждено, что ЗПК «1С:Предприятие, версия 8.2z» соответствует требованиям руководящих документов:

  • «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) — по 5 классу защищенности;
  • «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля.

Ознакомиться с сертификатом можно здесь > >.

Обращаем внимание пользователей ЗПК «1С:Предприятие, версия 8.2z», что в новом сертификате исключена имевшая место ранее фраза: «а также для защиты информации в информационных системах персональных данных до 1 класса включительно». Данное исключение связано с отсутствием в настоящее время в действующем законодательстве по защите персональных данных понятия «класс информационной системы персональных данных».

Пунктом 12 Приказа ФСТЭК России № 21 предусмотрено требование об использовании в информационных системах персональных данных сертифицированных по требованиям безопасности средств защиты информации средств вычислительной техники не ниже 5 класса защищенности (для обеспечения 1-3 уровня защищенности) и не ниже 6 класса защищенности (для обеспечения 4 уровня защищенности). Таким образом, в сертификате подтверждено, что ЗПК «1С:Предприятие, версия 8.2z» может использоваться при построении ИСПДн для любого уровня защищенности.

Дополнительно считаем необходимым отметить следующее:

Видео удалено.
Видео (кликните для воспроизведения).

Источник: http://buh.ru/articles/documents/17807/

Персональные данные таблица
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here