152-ФЗ "О персональных данных"
В этой статье мы разберёмся как определить необходимый уровень защищённости для обработки персональных данных.
Что такое персональные данные(ПД)?
Персональные данные делятся на 4 типа:
- Общие ПД. (Ф.И.О., паспортные данные, СНИЛС, ИНН, дата рождения, e-mail)
- Специальные ПД. (данные о расовой и национальной принадлежности, состоянии здоровья, интимной жизни)
- Биометрические ПД. (данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев и т.д.)
- Иные (прочие данные о конкретном человеке, такие как имя домашнего питомца или предпочтения в еде.)
Если вы храните ПД, то обязаны их защищать. Разберёмся как обеспечить защиту ПД.
При хранении и обработке ПД нужно обеспечить им уровень защищённости в соответствии с «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК.
Необходимый уровень защищенности зависит от:
- Типа ПД. (общие, специальные, биометрические, иные)
- Субъекта ПД (ваши сотрудники или клиенты)
- Количество субъектов (больше 100 000 или меньше 100 000)
- Типа актуальных угроз (1, 2 или 3 тип).
п.1 п.2 и п.3 легко определить самостоятельно. Разберём п.4 (Тип актуальных угроз)
В законе они классифицируются как:
- тип - самые серьезные угрозы, связанные с недокументированными возможностями в системном программном обеспечении (ПО), например в операционной системе.
- тип - угрозы, связанные с недокументированными возможностями в прикладном ПО, например в установленных программах.
- тип - угрозы, не связанные с ПО, например уязвимости в оборудовании.
Если вы не считаете что в используемом вами ПО есть "закладки", то угрозы 1го и 2го типа можно считать не актуальными.
Перейдём к определению необходимого уровня защищённости.
Всего существует 4 уровня защищенности (доверия):
- 1 УЗ Позволяет хранить специальные и биометрические данные при 1 типе угроз. Технически самый сложный, к примеру, требует безотказной работы серверов и установки на компьютеры только ПО, заранее разрешенного службой безопасности.
- 2 УЗ Подходит для хранения любых данных, для некоторых данных допускает даже 1 тип угроз. Требует установить систему обнаружения вторжений, защищать систему от спама, организовать резервное копирование.
- 3 УЗ Кроме общедоступных и иных данных позволяет хранить биометрические и специальные данные, работать при 2 и 3 типе угроз. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также ограничить доступ к настройкам информационной системы.
- 4 УЗ Необходим для защиты общедоступных и иных данных с 3 типом угроз. Самый простой, требует несложных мер защиты вроде установки антивируса и регулярного обновления ПО
Рассмотрим пример как определить уровень защищённости:
Пример 1:
У вас интернет магазин и вы собираете данные ПД типа "Общие", клиентов менее 100 000 , тип угроз вы определили как 3. В этом случае, для соблюдения требования закона необходимо обеспечить 4 уровень защищённости (4 УЗ).
Для УЗ-4 сертификация не требуется.
Пример 2:
У Вас медицинская организация и вы обрабатываете биометрические данные клиентов (группа крови, ДНК), тип угроз вы определите как 3. В этом случае Вам необходимо обеспечить 3 уровень защищённости (3 УЗ).
Для УЗ-3 и выше (обработка специальных перс. данных, биометрические данные, мед. услуги и т.п.) требуется аттестация ФСТЭК.
Систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.
Облако Maxiplace соответствует четвертому уровню защищенности (УЗ-4)