Необходимость классификации персональных данных обусловливается требованиями к классу информационных систем, в которых производится обработка. Выделяют четыре группы ПД в зависимости от формы предоставления и характера данных. Определение категории производится по нескольким параметрам.

Четыре типа ПД

Закон «О персональных данных» не приводит точных принципов их классификации. Они определяются постановлением правительства № 1119 и нормативными актами ФСТЭК. Определение класса системы, в которой происходит обработка данных, является приоритетной задачей, оно производится в два этапа:

• получение и анализ параметров ИС;
• присвоение класса ИС, фиксация в документах.

При сборе информации требуется найти ответы на вопросы:

• какова категория персональных данных, с которыми работает организация;
• сколько именно записей ПД находится в обработке – больше или меньше 100 тысяч;
• какие нормативные требования к безопасности ПД существуют;
• как выстроена архитектура информационной системы обработки данных;
• имеет ли часть ИС, в которой обрабатываются ПД, прямое подключение к Интернету;
• какие операции с персональными данными производятся;
• настроен ли в компании дифференцированный доступ к персональным данным.

Для определения категории персональных данных требуется изучить нормативно-правовую документацию. Там названы четыре типа данных:

• 1 категория. Персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских мнениях, медицинская информация, данные о частной жизни;
• 2 категория. Любые данные, которые позволяют точно идентифицировать личность человека, получить о нем новые сведения. К этой группе относят биометрические данные – фотографии, отпечатки пальцев, сканы сетчатки глаза, записи голоса, анализы ДНК, иные сведения;
• 3 категория. Эти данные позволяют идентифицировать владельца, но не получить о нем новые сведения;
• 4 категория. Общедоступные персональные данные или прошедшие процедуру обезличивания, когда из общего информационного массива невозможно выделить сведения об одном человеке.

Отдельно выделяют группу платежных данных – сведения о банковских картах или электронных кошельках. Их защищают наиболее серьезно, при помощи шифрования, но законопроект о введении такой категории пока не стал законом. 

Существует еще одна градация данных – по количеству:

1. В информационной системе происходит обработка персональных данных в количестве более 100 тысяч или данных всех жителей одного субъекта федерации. Операции с этим количеством данных должны производиться одновременно, а не на протяжении определенного количества времени;

2.  Количество обрабатываемых персональных данных одного субъекта снижается до диапазона 1 000-100 000, все относятся к жителям конкретного муниципального района или к занятым в одном секторе экономики;

3.  В ИС происходит одновременная обработка информации о не более чем 100 субъектах или только данных работников одной организации.

Основываясь на этих двух типах классификации, определяют класс информационной системы и применяемые методы защиты. Для каждого класса информационных систем существуют обязательные организационные, технические и программные меры защиты. Отказ от их применения приводит к административной ответственности оператора.

07.12.2020