Параметры защиты персональных данных (ПД) – это некоторая совокупность определенных условий по соблюдению требований правовых норм, позволяющая эффективно защитить информационные системы, содержащие, перерабатывающие и использующие эту информацию, от несанкционированного доступа.

Категории ИСПДн

К основным данным персонального характера относятся ФИО, дата рождения, адрес проживания, имущественное состояние, наличие образования, принадлежность к какой-либо профессии. Операторами этих и многих других данных являются госорганы, муниципальные органы, физические и юридические лица, обрабатывающие ПД.

Субъектами ПД являются физические лица. Оператор обязан создать необходимые условия по защите этой информации в соответствии с нормами законодательства РФ.

Постановлением № 1119 от 1 декабря 2012 г. вместо применяемых в России ранее классов информационных систем персональных данных (ИСПДн) применяются уровни защищенности ПД. Этот документ определяет конкретные требования к защите ПД при работе с ними в информсистемах и к уровням их защищенности.

Уровень защищенности зависит от:

• категорий данных;
• актуальных угроз;
• числа людей, обработка ПД которых осуществляется;
• контингента граждан – субъектов этих данных.

Информсистемы ПД делятся на четыре категории:

1. Биометрические содержат информацию о биологии и физиологии субъекта, с помощью которой становится возможной идентификация его персоны.
2. Специальные включают в себя расовую и национальную принадлежность, политические предпочтения, религиозные или философские верования и убеждения, информацию о состоянии физического и психического здоровья, сексуальном выборе и жизни.
3. К общедоступным отнесены сведения об основных персональных данных, являющихся достоянием широких масс благодаря легкодоступным источникам, в которых они хранятся и обрабатываются.
4. Иные ИСПДн используют данные, отсутствующие в предыдущих группах.

Объемы обрабатываемых личных данных в ИСПДн делятся на две группы: до 100 000 человек и более 100 000.

По форме взаимодействия между оператором и субъектами работа с ПД делится на два вида:

• работа с ПД сотрудников;
• работа с ПД других людей.

К числу актуальных угроз безопасности ПД можно отнести намеренный или случайный несанкционированный доступ, в результате чего данные могут быть уничтоженными, сфальсифицированными, измененными, блокированными, скопированными, распространенными средствами массовой информации и т. п.

Возможность устанавливать типы существующих актуальных угроз предоставляется самому оператору с привлечением специалистов по информационной безопасности.

К актуальным типам угроз относят:

• недокументированные возможности системного программного обеспечения ИСПДн, которые позволяют осуществлять несанкционированный вход;
• недокументированные возможности прикладного ПО;
• другие угрозы.

Уровни защищенности ИСПДн

Всего существует четыре уровня защищенности (УЗ) ПД.

УЗ-1 устанавливается:

• если существуют угрозы I типа и информсистема работает со специальными, биометрическими или иными категориями ПД;
• если существуют угрозы II типа и информсистема работает со специальными категориями ПД свыше 100 тысяч граждан.

УЗ-2 устанавливается при угрозах типов:

• I и работе с общедоступными личными данными;
• II и работе с личными данными служащих оператора или при работе со специальной категорией ниже 100 тысяч человек;
• II и работе с использованием биометрических личных данных;
• II и обработке общедоступных личных данных при количестве от 100 тысяч человек (без персонала оператора); 
• II и работе с другими видами ПД с количеством от 100 тысяч человек (без учета работников оператора); 
• III и работе со специальной категорией более чем 100 тысяч человек (не считая персонала оператора). 

УЗ-3 устанавливается при наличии угроз следующих типов:

• II, включая работу с ПД общедоступного характера с количеством людей до 100 тысяч человек;
• II с работой с другими категориями до 100 тысяч человек;
• III с обработкой специальных категорий до 100 тысяч человек;
• III с использованием биометрических ПД;
• III с работой с другими категориями, превышающими 100 тысяч человек (кроме персонала оператора).

УЗ-4 устанавливается при угрозах:

• III типа и работе с общедоступной информацией;
• III типа и обработке других категорий меньше 100 тысяч человек.

Требования к защите личных данных для существующих уровней защищенности

Если уровень защищенности ПД уже установлен, становится возможным подбор подходящих мер организационного и технического характера обеспечения безопасности ПД в соответствии с приказом № 21 от 18.02.2013 ФСТЭК РФ.

Требования приводятся в исполнение самим оператором, или к этой работе привлекаются по договорам юридические или физические лица, имеющие лицензию на технические способы защиты конфиденциальной информации. Оператор ИСПДн определяет уровень защищенности ПД и оформляет соответствующий акт.

Проверка выполнения предусмотренных норм безопасности должна осуществляться не реже одного раза в три года.