угроза безопасности информации это
Как обеспечить собственную безопасность в интернете
11.12.2019
данные третьим лицам
Может ФНС запрашивать ПДн?
20.12.2019
Показать все

Перечень требований к защите ПДн. Часть 3.

защита данных

Часть 3. Уровень защищённости ИСПДН и предъявляемые требования.

Шаг 4. Определение требуемого уровня защищённости ИСПДН

Это ключевой этап, который определяет список требований к системе защиты персональных данных.

Постановление Правительства РФ № 1119 выделяет 1-ый, 2-ой, 3-ий, 4-ый уровни защищённости и устанавливает критерии, от которых зависит определение уровня защищённости ИСПДН:
• актуальность 1-ого, 2-ого или 3-его типа угроз для информационной системы;
• обработка информационной системой специальных, биометрических, общедоступных или иных персональных данных;
• обработка персональных данных только сотрудников операторов или сотрудников и не сотрудников операторов;
• количество субъектов персональных данных (более или менее чем 100 000).

Оператору нужно соотнести эти 4 критерия, совокупность которых позволит установить требуемый уровень защищённости системы. Принцип соотнесения закреплён в пунктах 9 12 постановления № 1119.

Самые уязвимые информационные системы требуют 1-ый уровень защищённости ИСПДН, наименее — 4-ый. Например, 1-ый уровень защищённости требуется для информационных систем, для которых актуальны угрозы 1-го типа и если в ней обрабатываются специальные, либо биометрические категории персональных данных.4-ый уровень защищённости предъявляется к информационным системам, обрабатывающим общедоступные или иные данные при возникновении угроз 3 типа.

Шаг 5. Составление списка требований, необходимых для защиты системы

Количество требований увеличивается от 4-ого уровня защищённости к 1-ому. При этом все последующие уровни должны соответствовать требованиям, предъявляемым к предыдущему уровню.

Список требований, необходимы для защиты ИСПДн

Виды категорий персональных данных

Законодательство группирует категории персональных данных в зависимости от их характеристик. Это необходимо для установления различных режимов их обработки и защиты — чем важнее и «чувствительнее» персональные данные, тем серьёзнее требования.

Законодательство выделяет 4 вида категорий персональных данных:

1) Специальные персональные данные — это те персональные данные, которые касаются личной, общественной жизни человека, его политической и религиозной самоидентификации.
Законодательство к таковым относит данные, касающиеся:
• расовой, национальной принадлежности,
• политических взглядов,
• религиозных, философских убеждений,
• состояния здоровья,
• интимной жизни.

2) Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека. Важное условие для отнесения данных к биометрическим — они должны позволять устанавливать личность человека и использоваться оператором для установления личности субъекта.

Так, при определённых обстоятельствах к таким данным могут относиться:
• дактилоскопические данные;
• радужная оболочка глаз;
• анализы ДНК;
• рост, вес;
• изображение человека (фотография и видеозапись)
• и другие.

3) Общедоступные персональные данные персональные данные, полученные из общедоступных источников персональных данных (справочников, адресных книг), созданных в целях информационного обеспечения.
Такая информация включается с письменного согласия субъекта персональных данных и должна быть доступна неопределенному кругу лиц.

4) Иные персональные данные — персональные данные, которые не относятся к предыдущим группам — ФИО, адреса, e-mail и прочие данные, которые не являются общедоступными.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *