Определение уровня защищенности ИСПДн
1 ноября утверждено постановление правительства №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
В соответствии с постановлением, требования по защите персональных данных в ИСПДн зависят от уровня защищенности ИСПДн.
Для определения уровня защищенности необходимо выделить ряд параметров ИСПДн, описанных ниже.
Все ИСПДн по категориям обрабатываемых данных делятся на:
- обрабатывающие специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни)
- обрабатывающие биометрические категории персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта)
- обрабатывающие иные персональных данных.
Кроме того отдельно выделяют системы, обрабатывающие общедоступные персональные данные (данные субъектов персональных данных, полученные только из общедоступных источников).
Также отдельно выделены информационные системы, обрабатывающие персональные данные только сотрудников оператора.
В постановлении приведены три типа актуальных угроз.
- 1 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (операционная система)
- 2 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (программы обработки ПДн)
- 3 тип. Угрозы, не связанные с наличием недокументированных (недекларированных) возможностей
При этом в документе не дается указаний на способы выявления недекларированных возможностей программного обеспечения. Это привело к наличию различных точек зрения на этот вопрос.
Мы рекомендуем Вам руководствоваться следующим правилом: если программное обеспечение лицензионное, выпущено серийно и имеет широкое распространение, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют. В противном случае есть высокая вероятность наличия недокументированных функций, способных нанести вред.
На основании указанных выше критериев определяется уровень защищенности ИСПДн. Для этого рекомендуем Вам воспользоваться формой приведенной ниже