8 (800) 234-44-44

Самое важное про ИСПДн: что нужно знать о системах персональных данных

11 декабря 2021 г.

Согласно законодательству РФ и требованиям регуляторов, на все компании, работающие с ПДн, возложены обязанности по обеспечению их безопасности и защите. Для выполнения требований необходимо понять, насколько защищена система, используемая для их хранения и обработки, и какие опасности могут ей угрожать.

Сегодня мы расскажем, что скрывается под аббревиатурой ИСПДн, как определить уровень ее защищенности и грамотно выбрать подходящую инфраструктуру для ее размещения. Статья будет полезна компаниям, которые работают с персональными данными своих клиентов или сотрудников и хотят обеспечить полное соответствие требованиям 152-ФЗ и регуляторов.каких дополнительных работ он берет на себя.

По порядку об ИСПДн

Начнем с терминологии. Аббревиатура ИСПДн расшифровывается как информационная система персональных данных. В ее состав входят не только сами ПДн, но также инструменты, использующиеся для обеспечения безопасности этих данных, и средства их обработки. Разберемся, что конкретно включает ИСПДн, на простом примере.

 

Предположим, у вас есть собственный сервис доставки. В рамках бизнес-процессов вы вынуждены собирать определенные персональные данные своих пользователей, с которыми работают менеджеры вашей компании. Соответственно, ваша ИСПДн будет включать:

 

  • сами персданные (ФИО, адреса электронной почты, номера контактных телефонов, а в некоторых случаях дополнительную информацию вроде даты рождения);
  • БД, где собраны эти данные;
  • серверное оборудование, используемое для хранения этих БД;
  • программное обеспечение для обработки данных — CRM или другие инструменты автоматизации отношений с клиентами;
  • устройства, которые ваши сотрудники (менеджеры, курьеры и пр.) используют для работы с ПДн;
  • средства защиты информации — антивирусные средства, файрволы и прочие.

 

Обратите внимание: компания обязана защищать персональные данные не только своих клиентов, но и сотрудников.

 

Подробнее о том, как меняется уровень защищенности в зависимости от того, кому принадлежат данные, мы поговорим чуть ниже.

Классификация ИСПДн

Согласно методике ФСТЭК, все ИСПДн можно разделить на группы по 7 параметрам. Каждому типу в каждой группе соответствует свой уровень защищенности (УЗ). Давайте рассмотрим эту классификацию внимательнее.

По размещению:

Тип ИСПДнУЗ
Распределенная (расположена в разных субъектах, городах или регионах
РФ или же охватывает всю территорию страны)
Низкий
Городская (сконцентрирована в одном городе или поселке)Низкий
Корпоративная распределенная (может находиться как в одном, так и в разных населенных пунктах, однако при этом целиком принадлежит только одной организации)Средний
Кампусная (размещается в разных, но близко расположенных по отношению друг к другу зданиях)Средний
Локальная (сосредоточена в одном здании)Высокий

 

По типу соединения с сетями общего пользования (интернетом):

Тип ИСПДнУЗ
Все сотрудники компании-владельца ИСПДн имеют доступ к ПДнНизкий
Только определенные сотрудники, закрепленные в перечне, и сам субъект ПДн имеют доступ к даннымСредний

 

По операциям, которые можно производить над записями баз ПДн:

 

Тип ИСПДнУЗ
Исключительно чтение и поиск данныхВысокий
Разрешается запись новых данных, их удаление и сортировкаСредний
Можно модифицировать и передавать данныеНизкий

 

По степени обезличивания ПДн:

Тип ИСПДнУЗ
Данные обезличиваются при предоставлении пользователюВысокий
Данные обезличиваются исключительно при их передаче в другие организации, при этом пользователю внутри организации предоставляются без обезличиванияСредний
Обезличивания данных не происходит, они позволяют идентифицировать субъекта ПДнНизкий

 

По объему данных, предоставляемых без обработки:

Тип ИСПДнУЗ
Предоставляется доступ ко всей базе данныхНизкий
Доступ есть только к части данныхСредний
Данные не предоставляютсяВысокий

 

С помощью классификации ФСТЭК, зная указанные выше параметры ИСПДн, можно установить общий уровень ее защищенности. Зачем это нужно? В будущем это позволит оценить актуальные для рассматриваемой информационной системы типы угроз и установить требуемый уровень защищенности ПДн.

Уровни и классы защищенности персональных данных

Российские регуляторы выделяют четыре уровня защищенности (УЗ) персональных данных — УЗ-1, 2, 3 и 4, при этом:

 

  • УЗ-1 требует наиболее серьезных мер защиты;
  • УЗ-4 наименее требователен к средствам обеспечения безопасности данных;

 

УЗ зависит сразу от нескольких факторов:

 

  • категория ПД — общедоступные, специальные, биометрические или иные;
  • принадлежат ли эти данные только сотрудникам оператора;
  • количество субъектов;
  • тип актуальных угроз.

 

Для определения уровня защищенности можно обратиться к этой таблице:

К примеру, вы храните ПДн 120 тысяч субъектов, они относятся к типу общедоступных, принадлежат не только вашим сотрудникам и для них актуален третий тип угроз. По этим параметрам мы можем определить уровень защищенности ПДн — УЗ-4. Однако в случае, если вы храните специальные данные сотрудников, для которых актуален первый тип угроз, они относятся уже к УЗ-1.

Зная, к какому уровню защищенности относятся данные в вашей ИСПДн, можно подобрать облачную инфраструктуру, соответствующую требованиям регуляторов по защите информации в ИСПДн.

Среди компаний до сих пор жив миф о том, что персональные данные нельзя хранить в облаках. На самом деле, ни законодательство РФ, ни регуляторы не запрещают этого делать. Чтобы избежать недоразумений, в первую очередь, необходимо выбрать провайдера, предлагающего виртуальную инфраструктуру, которая обеспечивает требуемый вам уровень защищенности. Эта информация, как правило, представлена не только на сайтах IaaS-провайдеров, но и зафиксирована документально.

Облако 152-ФЗ от MWS подходит для размещения ИСПДн с учетом требований 21 приказа ФСТЭК вплоть до УЗ-1. Значит, нашу аттестованную виртуальную инфраструктуру можно использовать для хранения ПДн любого уровня защищенности.

Размещение ИСПДн не на локальных ресурсах, а в аттестованном облаке провайдера имеет множество преимуществ:

 

  • CAPEX трансформируются в OPEX;
  • экономия на обслуживании оборудования и ФОТ сотрудников;
  • быстрое и гибкое масштабирование — как и в обычном публичном облаке;
  • поставщик услуги гарантирует обеспечение нужного уровня безопасности данных и несет финансовую ответственность.

 

Если вы уже сделали выбор в пользу защищенного облака, постарайтесь выяснить у провайдера максимум информации о предлагаемом сервисе. Изучите аттестат или иной документ, уточните, заключает ли провайдер официальный договор-поручение на обработку ПДн и проведение каких дополнительных работ он берет на себя.

Поделиться

Другие статьи

/ Решим ваши задачи