152-ФЗ "О персональных данных"

В этой статье мы разберёмся как определить необходимый уровень защищённости для обработки персональных данных.

Что такое персональные данные(ПД)?

Персональные данные делятся на 4 типа:

  1. Общие ПД. (Ф.И.О., паспортные данные, СНИЛС, ИНН, дата рождения, e-mail)
  2. Специальные ПД. (данные о расовой и национальной принадлежности, состоянии здоровья, интимной жизни)
  3. Биометрические ПД. (данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев и т.д.)
  4. Иные (прочие данные о конкретном человеке, такие как имя домашнего питомца или предпочтения в еде.)

Если вы храните ПД, то обязаны их защищать. Разберёмся как обеспечить защиту ПД.

При хранении и обработке ПД нужно обеспечить им уровень защищённости в соответствии с «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК.

Необходимый уровень защищенности зависит от:

  1. Типа ПД. (общие, специальные, биометрические, иные)
  2. Субъекта ПД (ваши сотрудники или клиенты)
  3. Количество субъектов (больше 100 000 или меньше 100 000)
  4. Типа актуальных угроз (1, 2 или 3 тип).

 п.1 п.2 и п.3 легко определить самостоятельно. Разберём п.4 (Тип актуальных угроз)

В законе они классифицируются как:

  1. тип - самые серьезные угрозы, связанные с недокументированными возможностями в системном программном обеспечении (ПО), например в операционной системе.
  2. тип -  угрозы, связанные с недокументированными возможностями в прикладном ПО, например в установленных программах.
  3. тип -  угрозы, не связанные с ПО, например уязвимости в оборудовании.

Если вы не считаете что в используемом вами ПО есть "закладки", то угрозы 1го и 2го типа можно считать не актуальными.

Перейдём к определению необходимого уровня защищённости.

Всего существует 4 уровня защищенности (доверия):

  • 1 УЗ Позволяет хранить специальные и биометрические данные при 1 типе угроз. Технически самый сложный, к примеру, требует безотказной работы серверов и установки на компьютеры только ПО, заранее разрешенного службой безопасности.
  • 2 УЗ Подходит для хранения любых данных, для некоторых данных допускает даже 1 тип угроз. Требует установить систему обнаружения вторжений, защищать систему от спама, организовать резервное копирование.
  • 3 УЗ  Кроме общедоступных и иных данных позволяет хранить биометрические и специальные данные, работать при 2 и 3 типе угроз. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также ограничить доступ к настройкам информационной системы.
  • 4 УЗ Необходим для защиты общедоступных и иных данных с 3 типом угроз. Самый простой, требует несложных мер защиты вроде установки антивируса и регулярного обновления ПО

Рассмотрим пример как определить уровень защищённости:

Пример 1:

У вас интернет магазин и вы собираете данные ПД типа "Общие", клиентов менее 100 000 , тип угроз вы определили как 3. В этом случае, для соблюдения требования закона необходимо обеспечить 4 уровень защищённости (4 УЗ). 

Для УЗ-4 сертификация не требуется

Пример 2:

У Вас медицинская организация и вы обрабатываете биометрические данные клиентов (группа крови, ДНК), тип угроз вы определите как 3. В этом случае Вам необходимо обеспечить  3 уровень защищённости (3 УЗ). 

Для УЗ-3 и выше (обработка специальных перс. данных, биометрические данные, мед. услуги и т.п.) требуется аттестация ФСТЭК.

Систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.

Облако Maxiplace соответствует четвертому уровню защищенности (УЗ-4)