Классификация персональных данных

Аудит и классификация данных
на базе системы

СёрчИнформ FileAuditor
30 дней для тестирования «СёрчИнформ FileAuditor»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Необходимость классификации персональных данных обусловливается требованиями к классу информационных систем, в которых производится обработка. Выделяют четыре группы ПД в зависимости от формы предоставления и характера данных. Определение категории производится по нескольким параметрам.

Четыре типа ПД

Закон «О персональных данных» не приводит точных принципов их классификации. Они определяются постановлением правительства № 1119 и нормативными актами ФСТЭК. Определение класса системы, в которой происходит обработка данных, является приоритетной задачей, оно производится в два этапа:

  • получение и анализ параметров ИС;
  • присвоение класса ИС, фиксация в документах.

При сборе информации требуется найти ответы на вопросы:

  • какова категория персональных данных, с которыми работает организация;
  • сколько именно записей ПД находится в обработке – больше или меньше 100 тысяч;
  • какие нормативные требования к безопасности ПД существуют;
  • как выстроена архитектура информационной системы обработки данных;
  • имеет ли часть ИС, в которой обрабатываются ПД, прямое подключение к Интернету;
  • какие операции с персональными данными производятся;
  • настроен ли в компании дифференцированный доступ к персональным данным.

Для определения категории персональных данных требуется изучить нормативно-правовую документацию. Там названы четыре типа данных:

  • 1 категория. Персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских мнениях, медицинская информация, данные о частной жизни;
  • 2 категория. Любые данные, которые позволяют точно идентифицировать личность человека, получить о нем новые сведения. К этой группе относят биометрические данные – фотографии, отпечатки пальцев, сканы сетчатки глаза, записи голоса, анализы ДНК, иные сведения;
  • 3 категория. Эти данные позволяют идентифицировать владельца, но не получить о нем новые сведения;
  • 4 категория. Общедоступные персональные данные или прошедшие процедуру обезличивания, когда из общего информационного массива невозможно выделить сведения об одном человеке.

Отдельно выделяют группу платежных данных – сведения о банковских картах или электронных кошельках. Их защищают наиболее серьезно, при помощи шифрования, но законопроект о введении такой категории пока не стал законом. 

Существует еще одна градация данных – по количеству:

1. В информационной системе происходит обработка персональных данных в количестве более 100 тысяч или данных всех жителей одного субъекта федерации. Операции с этим количеством данных должны производиться одновременно, а не на протяжении определенного количества времени;

2.  Количество обрабатываемых персональных данных одного субъекта снижается до диапазона 1 000-100 000, все относятся к жителям конкретного муниципального района или к занятым в одном секторе экономики;

3.  В ИС происходит одновременная обработка информации о не более чем 100 субъектах или только данных работников одной организации.

Основываясь на этих двух типах классификации, определяют класс информационной системы и применяемые методы защиты. Для каждого класса информационных систем существуют обязательные организационные, технические и программные меры защиты. Отказ от их применения приводит к административной ответственности оператора.

07.12.2020

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними