Согласно законодательству РФ и требованиям регуляторов, на все компании, работающие с ПДн, возложены обязанности по обеспечению их безопасности и защите. Для выполнения требований необходимо понять, насколько защищена система, используемая для их хранения и обработки, и какие опасности могут ей угрожать.
Сегодня мы расскажем, что скрывается под аббревиатурой ИСПДн, как определить уровень ее защищенности и грамотно выбрать подходящую инфраструктуру для ее размещения. Статья будет полезна компаниям, которые работают с персональными данными своих клиентов или сотрудников и хотят обеспечить полное соответствие требованиям 152-ФЗ и регуляторов.каких дополнительных работ он берет на себя.
По порядку об ИСПДн
Начнем с терминологии. Аббревиатура ИСПДн расшифровывается как информационная система персональных данных. В ее состав входят не только сами ПДн, но также инструменты, использующиеся для обеспечения безопасности этих данных, и средства их обработки. Разберемся, что конкретно включает ИСПДн, на простом примере.
Предположим, у вас есть собственный сервис доставки. В рамках бизнес-процессов вы вынуждены собирать определенные персональные данные своих пользователей, с которыми работают менеджеры вашей компании. Соответственно, ваша ИСПДн будет включать:
- сами персданные (ФИО, адреса электронной почты, номера контактных телефонов, а в некоторых случаях дополнительную информацию вроде даты рождения);
- БД, где собраны эти данные;
- серверное оборудование, используемое для хранения этих БД;
- программное обеспечение для обработки данных — CRM или другие инструменты автоматизации отношений с клиентами;
- устройства, которые ваши сотрудники (менеджеры, курьеры и пр.) используют для работы с ПДн;
- средства защиты информации — антивирусные средства, файрволы и прочие.
Обратите внимание: компания обязана защищать персональные данные не только своих клиентов, но и сотрудников.
Подробнее о том, как меняется уровень защищенности в зависимости от того, кому принадлежат данные, мы поговорим чуть ниже.
Классификация ИСПДн
Согласно методике ФСТЭК, все ИСПДн можно разделить на группы по 7 параметрам. Каждому типу в каждой группе соответствует свой уровень защищенности (УЗ). Давайте рассмотрим эту классификацию внимательнее.
По размещению:
Тип ИСПДн | УЗ |
Распределенная (расположена в разных субъектах, городах или регионах РФ или же охватывает всю территорию страны) | Низкий |
Городская (сконцентрирована в одном городе или поселке) | Низкий |
Корпоративная распределенная (может находиться как в одном, так и в разных населенных пунктах, однако при этом целиком принадлежит только одной организации) | Средний |
Кампусная (размещается в разных, но близко расположенных по отношению друг к другу зданиях) | Средний |
Локальная (сосредоточена в одном здании) | Высокий |
По типу соединения с сетями общего пользования (интернетом):
Тип ИСПДн | УЗ |
Все сотрудники компании-владельца ИСПДн имеют доступ к ПДн | Низкий |
Только определенные сотрудники, закрепленные в перечне, и сам субъект ПДн имеют доступ к данным | Средний |
По операциям, которые можно производить над записями баз ПДн:
Тип ИСПДн | УЗ |
Исключительно чтение и поиск данных | Высокий |
Разрешается запись новых данных, их удаление и сортировка | Средний |
Можно модифицировать и передавать данные | Низкий |
По степени обезличивания ПДн:
Тип ИСПДн | УЗ |
Данные обезличиваются при предоставлении пользователю | Высокий |
Данные обезличиваются исключительно при их передаче в другие организации, при этом пользователю внутри организации предоставляются без обезличивания | Средний |
Обезличивания данных не происходит, они позволяют идентифицировать субъекта ПДн | Низкий |
По объему данных, предоставляемых без обработки:
Тип ИСПДн | УЗ |
Предоставляется доступ ко всей базе данных | Низкий |
Доступ есть только к части данных | Средний |
Данные не предоставляются | Высокий |
С помощью классификации ФСТЭК, зная указанные выше параметры ИСПДн, можно установить общий уровень ее защищенности. Зачем это нужно? В будущем это позволит оценить актуальные для рассматриваемой информационной системы типы угроз и установить требуемый уровень защищенности ПДн.
Уровни и классы защищенности персональных данных
Российские регуляторы выделяют четыре уровня защищенности (УЗ) персональных данных — УЗ-1, 2, 3 и 4, при этом:
- УЗ-1 требует наиболее серьезных мер защиты;
- УЗ-4 наименее требователен к средствам обеспечения безопасности данных;
УЗ зависит сразу от нескольких факторов:
- категория ПД — общедоступные, специальные, биометрические или иные;
- принадлежат ли эти данные только сотрудникам оператора;
- количество субъектов;
- тип актуальных угроз.
Для определения уровня защищенности можно обратиться к этой таблице:
К примеру, вы храните ПДн 120 тысяч субъектов, они относятся к типу общедоступных, принадлежат не только вашим сотрудникам и для них актуален третий тип угроз. По этим параметрам мы можем определить уровень защищенности ПДн — УЗ-4. Однако в случае, если вы храните специальные данные сотрудников, для которых актуален первый тип угроз, они относятся уже к УЗ-1.
Зная, к какому уровню защищенности относятся данные в вашей ИСПДн, можно подобрать облачную инфраструктуру, соответствующую требованиям регуляторов по защите информации в ИСПДн.
Среди компаний до сих пор жив миф о том, что персональные данные нельзя хранить в облаках. На самом деле, ни законодательство РФ, ни регуляторы не запрещают этого делать. Чтобы избежать недоразумений, в первую очередь, необходимо выбрать провайдера, предлагающего виртуальную инфраструктуру, которая обеспечивает требуемый вам уровень защищенности. Эта информация, как правило, представлена не только на сайтах IaaS-провайдеров, но и зафиксирована документально.
Облако
Размещение ИСПДн не на локальных ресурсах, а в аттестованном облаке провайдера имеет множество преимуществ:
- CAPEX трансформируются в OPEX;
- экономия на обслуживании оборудования и ФОТ сотрудников;
- быстрое и гибкое масштабирование — как и в обычном публичном облаке;
- поставщик услуги гарантирует обеспечение нужного уровня безопасности данных и несет финансовую ответственность.
Если вы уже сделали выбор в пользу защищенного облака, постарайтесь выяснить у провайдера максимум информации о предлагаемом сервисе. Изучите аттестат или иной документ, уточните, заключает ли провайдер официальный договор-поручение на обработку ПДн и проведение каких дополнительных работ он берет на себя.