Категорирование информационных систем персональных данных (ИСПДн) — это процедура, в ходе которой определяется уровень защищённости системы. Этот процесс регулируется Федеральным законом № 152-ФЗ «О персональных данных» и Приказом ФСТЭК России № 21.Основные цели категорирования.
Выбор мер защиты: определение состава и класса средств защиты информации.
Соответствие закону: выполнение требований регуляторов (ФСТЭК, Роскомнадзор).
Минимизация рисков: адекватная защита данных в зависимости от их ценности и угроз.Критерии категорированияУровень защищённости ИСППДн (всего 4 уровня, где 1 — самый высокий) зависит от трёх ключевых параметров.
Тип персональных данных (ПДн):Специальные: данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
Биометрические: сведения, характеризующие физиологические и биологические особенности человека (отпечатки пальцев, радужка глаза, ДНК).
Общедоступные: данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта или в силу закона.Иные: все остальные данные, позволяющие идентифицировать человека (ФИО, адрес, паспортные данные, телефон).
Количество субъектов ПДн:Менее 100 000 человек.100 000 и более человек.
Тип актуальных угроз:
1-й тип: угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном ПО (например, в операционных системах).
2-й тип: угрозы, связанные с наличием недокументированных возможностей в прикладном ПО (например, в СУБД или самой ИСПДн).
3-й тип: угрозы, не связанные с недокументированными возможностями ПО. Считается, что в современных сертифицированных системах такие угрозы минимальны.
Определение целей и задач обработки: для чего собираются данные.
Идентификация персональных данных: какие именно данные обрабатываются и к какому типу они относятся.
Оценка количества субъектов: сколько физических лиц охвачено системой.
Анализ угроз: определение типа актуальных угроз (обычно для коммерческих систем это 3-й тип).
Присвоение уровня защищённости (УЗ): на основе матрицы выше.Составление акта: документальное оформление результатов категорирования.Разработка модели угроз: подробное описание возможных рисков.
Выбор и внедрение средств защиты: подбор сертифицированных ФСТЭК/ФСБ средств в соответствии с присвоенным УЗ.Категорирование — это не разовое действие. При изменении состава данных, количества пользователей или архитектуры системы процедуру необходимо проводить повторно.
Вопрос
Какие типы персональных данных учитываются при категорировании ИСПДн?
Ответ
При категорировании информационных систем персональных данных (ИСПДн) учитываются следующие типы персональных данных, установленные Федеральным законом № 152-ФЗ и нормативными актами ФСТЭК России:
Специальные категории персональных данныхСведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
Биометрические персональные данныеСведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (например, отпечатки пальцев, рисунок радужной оболочки глаза, ДНК, фотография для распознавания лица).
Общедоступные персональные данныеСведения, к которым субъект персональных данных сам предоставил доступ неограниченному кругу лиц или которые в соответствии с законом подлежат обязательному раскрытию.
Иные персональные данные: Все остальные данные, которые позволяют прямо или косвенно идентифицировать физическое лицо (например, ФИО, адрес, номер телефона, паспортные данные, место работы, электронная почта).Роль типов данных при категорированииТип персональных данных — один из трёх ключевых критериев для определения уровня защищённости ИСПДн (УЗ-1, УЗ-2, УЗ-3 или УЗ-4). Чем более чувствительны данные (например, специальные или биометрические), тем выше требуемый уровень защищённости системы.
