Все статьи

Самое важное про ИСПДн: что нужно знать о системах персональных данных

12 ноя 202112020

Согласно законодательству РФ и требованиям регуляторов, на все компании, работающие с ПДн, возложены обязанности по обеспечению их безопасности и защите. Для выполнения требований необходимо понять, насколько защищена система, используемая для их хранения и обработки, и какие опасности могут ей угрожать.

Сегодня мы расскажем, что скрывается под аббревиатурой ИСПДн, как определить уровень ее защищенности и грамотно выбрать подходящую инфраструктуру для ее размещения. Статья будет полезна компаниям, которые работают с персональными данными своих клиентов или сотрудников и хотят обеспечить полное соответствие требованиям 152-ФЗ и регуляторов.

По порядку об ИСПДн

Начнем с терминологии. Аббревиатура ИСПДн расшифровывается как информационная система персональных данных. В ее состав входят не только сами ПДн, но также инструменты, использующиеся для обеспечения безопасности этих данных, и средства их обработки. Разберемся, что конкретно включает ИСПДн, на простом примере.

Предположим, у вас есть собственный сервис доставки. В рамках бизнес-процессов вы вынуждены собирать определенные персональные данные своих пользователей, с которыми работают менеджеры вашей компании. Соответственно, ваша ИСПДн будет включать:

  • сами персданные (ФИО, адреса электронной почты, номера контактных телефонов, а в некоторых случаях дополнительную информацию вроде даты рождения);
  • БД, где собраны эти данные;
  • серверное оборудование, используемое для хранения этих БД;
  • программное обеспечение для обработки данных — CRM или другие инструменты автоматизации отношений с клиентами;
  • устройства, которые ваши сотрудники (менеджеры, курьеры и пр.) используют для работы с ПДн;
  • средства защиты информации — антивирусные средства, файрволы и прочие.

Обратите внимание: компания обязана защищать персональные данные не только своих клиентов, но и сотрудников.

Подробнее о том, как меняется уровень защищенности в зависимости от того, кому принадлежат данные, мы поговорим чуть ниже.

Классификация ИСПДн

Согласно методике ФСТЭК, все ИСПДн можно разделить на группы по 7 параметрам. Каждому типу в каждой группе соответствует свой уровень защищенности (УЗ). Давайте рассмотрим эту классификацию внимательнее.

По размещению:

Тип ИСПДн УЗ
Распределенная (расположена в разных субъектах, городах или регионах
РФ или же охватывает всю территорию страны)
Низкий
Городская (сконцентрирована в одном городе или поселке) Низкий
Корпоративная распределенная (может находиться как в одном, так и в разных населенных пунктах, однако при этом целиком принадлежит только одной организации) Средний
Кампусная (размещается в разных, но близко расположенных по отношению друг к другу зданиях) Средний
Локальная (сосредоточена в одном здании) Высокий

По типу соединения с сетями общего пользования (интернетом):

Тип ИСПДн УЗ
Все сотрудники компании-владельца ИСПДн имеют доступ к ПДн Низкий
Только определенные сотрудники, закрепленные в перечне, и сам субъект ПДн имеют доступ к данным Средний

По операциям, которые можно производить над записями баз ПДн:

Тип ИСПДн УЗ
Исключительно чтение и поиск данных Высокий
Разрешается запись новых данных, их удаление и сортировка Средний
Можно модифицировать и передавать данные Низкий

По степени обезличивания ПДн:

Тип ИСПДн УЗ
Данные обезличиваются при предоставлении пользователю Высокий
Данные обезличиваются исключительно при их передаче в другие организации, при этом пользователю внутри организации предоставляются без обезличивания Средний
Обезличивания данных не происходит, они позволяют идентифицировать субъекта ПДн Низкий

По объему данных, предоставляемых без обработки:

Тип ИСПДн УЗ
Предоставляется доступ ко всей базе данных Низкий
Доступ есть только к части данных Средний
Данные не предоставляются Высокий

С помощью классификации ФСТЭК, зная указанные выше параметры ИСПДн, можно установить общий уровень ее защищенности. Зачем это нужно? В будущем это позволит оценить актуальные для рассматриваемой информационной системы типы угроз и установить требуемый уровень защищенности ПДн.

Уровни и классы защищенности персональных данных

Российские регуляторы выделяют четыре уровня защищенности (УЗ) персональных данных — УЗ-1, 2, 3 и 4, при этом:

  • УЗ-1 требует наиболее серьезных мер защиты;
  • УЗ-4 наименее требователен к средствам обеспечения безопасности данных;

УЗ зависит сразу от нескольких факторов:

  • категория ПД — общедоступные, специальные, биометрические или иные;
  • принадлежат ли эти данные только сотрудникам оператора;
  • количество субъектов;
  • тип актуальных угроз.

Для определения уровня защищенности можно обратиться к этой таблице:

Таблица уровней защищенности ИСПДн

К примеру, вы храните ПДн 120 тысяч субъектов, они относятся к типу общедоступных, принадлежат не только вашим сотрудникам и для них актуален третий тип угроз. По этим параметрам мы можем определить уровень защищенности ПДн — УЗ-4. Однако в случае, если вы храните специальные данные сотрудников, для которых актуален первый тип угроз, они относятся уже к УЗ-1.

Зная, к какому уровню защищенности относятся данные в вашей ИСПДн, можно подобрать облачную инфраструктуру, соответствующую требованиям регуляторов по защите информации в ИСПДн.

Среди компаний до сих пор жив миф о том, что персональные данные нельзя хранить в облаках. На самом деле, ни законодательство РФ, ни регуляторы не запрещают этого делать. Чтобы избежать недоразумений, в первую очередь, необходимо выбрать провайдера, предлагающего виртуальную инфраструктуру, которая обеспечивает требуемый вам уровень защищенности. Эта информация, как правило, представлена не только на сайтах IaaS-провайдеров, но и зафиксирована документально.

Облако 152-ФЗ от #CloudMTS подходит для размещения ИСПДн с учетом требований 21 приказа ФСТЭК вплоть до УЗ-1. Значит, нашу аттестованную виртуальную инфраструктуру можно использовать для хранения ПДн любого уровня защищенности.

Размещение ИСПДн не на локальных ресурсах, а в аттестованном облаке провайдера имеет множество преимуществ:

  • CAPEX трансформируются в OPEX;
  • экономия на обслуживании оборудования и ФОТ сотрудников;
  • быстрое и гибкое масштабирование — как и в обычном публичном облаке;
  • поставщик услуги гарантирует обеспечение нужного уровня безопасности данных и несет финансовую ответственность.

Если вы уже сделали выбор в пользу защищенного облака, постарайтесь выяснить у провайдера максимум информации о предлагаемом сервисе. Изучите аттестат или иной документ, уточните, заключает ли провайдер официальный договор-поручение на обработку ПДн и проведение каких дополнительных работ он берет на себя.