угрозы персональные данные
«Утечка» ПДн — проблема мира технологий
05.12.2019
ответственность персональные данные
Нарушения в области защиты персональных данных среди интернет-магазинов
09.12.2019
Показать все

Перечень требований к защите ПДн. Часть 2.

защита данных

Шаги до определения уровня защищённости ИСПДН

Для определения уровня защищённости ИСПДН оператору нужно определить:

  1. Категории персональных данных: понять, какие персональные данные обрабатывает оператор, относятся ли они к специфическим категориям.
  2. Субъектов персональных данных — определить, чьи персональные данные обрабатывает оператор, установить количество субъектов (больше 100 000 или нет).
  3. Угрозы, наиболее актуальные для информационной системы провести аудит системы и выделить актуальность угроз и их тип.

Шаг 1. Выделяем категории персональных данных

На этом шаге не нужно выделять состав персональных данных, как это требуется при заполнении уведомления Роскомнадзора.
Важным является определение группы категорий персональных данных: специальные, биометрические, общедоступные или иные персональные данные.

Подробнее о выделении категорий рассмотрим в следующей статье.

К наиболее уязвимым относят специальные и биометрические персональные данные, требования к защите в ИСПДН которых наиболее жёсткие.

Шаг 2. Определяем субъектов персональных данных и их количество

Оператору нужно определить, собирается ли он обрабатывать данные лиц-не работников оператора. Если ответ — да, требования к защите персональных будут строже.

Определение количества субъектов персональных данных важно для операторов, которые собираются обрабатывать данные более 100 000 лиц — в таком случае требований к уровню защищённости ИСПДН также может быть больше.

Шаг 3. Определяем тип угроз

После определения категорий персональных данных, состава и количества их субъектов, законодательство требует определить типы угроз, которые являются актуальными для информационных систем операторов.

Актуальные угрозы безопасности — это условия и факторы, которые в совокупности создают опасность несанкционированного, в том числе случайного, доступа к персональным данным.

В зависимости от технических характеристик системы и объективной возможности возникновения угроз, угроза может быть актуальной или неактуальной для системы. Актуальность зависит в том числе от технических и эксплуатационных характеристик информационной системы —её распределённости, разграничения уровней доступа к персональным данным и пр., а также принятия мер по предотвращению угроз, существенность негативных последствий в случае их возникновения .

В зависимости от программного обеспечения, для которых угрозы актуальны, угрозы делятся на 3 типа:

  1. Угрозы 1-го типа (если есть в том числе недокументированные (недекларированные) возможности в системном ПО).
  2. Угрозы 2-ого типа (недокументированные (недекларированные) возможности в прикладном ПО).
  3. Угрозы 3-его типа(иные угрозы).

Недекларированные возможности — функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Самыми серьёзными считаются угрозы 1 типа, далее — по уменьшению степень опасности.

Определение категорий персональных данных, количества и состава субъектов персональных данных, типов угроз, актуальных для информационной системы, необходимы для классификации информационных систем по требуемому уровню защищённости — дальнейшие шаги подробнее рассмотрим в следующей статье.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *