Информационные системы персональных данных (ИСПДН)

ФЗ РФ обязывает операторов активно внедрять различные уровни защищенности персональных данных. Значимая роль в этой работе отводится изучению типа угроз. Только так удается обеспечить нужную меру. Эксперты рассказали о том, как проходит процесс.

Что такое ИСПДН

Ответим на вопрос, что такое ИСПДН. Если говорить просто, то это комплекс информационных, технических и программных разработок, обеспечивающих защиту персональных данных физических лиц.

В состав этого комплекса входит несколько средств:

1. Персональные данные в базах. Вся информация, в том числе и на внешних носителях, которая используется для хранения сведений.
2. Информационные технологии. Методики, применяемые оператором для защиты сведений.
3. Программные средства. Сюда входят различные ОС и ПО, программы по управлению базами данных и прочие инструменты.
4. Инструменты защиты информации.
5. Вспомогательная аппаратура и техника, в том числе телефония, различные виды сигнализации, контрольно-измерительные приборы и т.д.

В качестве примера приведем следующую ситуацию. Отдел кадров использует в работе информационную систему. В нее входит база данных о всех работниках, в том числе и уволенных. Служба применяет различные методики, чтобы обеспечить защищенность сведений. А в процессе обработки используются доступные средства, например:

• серверы;
• ПО;
• автоматизированные рабочие места.

Важно выбрать оптимальный уровень защищенности ИСПДН. В противном случае утечка конфиденциальных сведений станет угрозой.

Понятия ИСПДН и СКУД тесно связаны. Но это не одно и то же. Первый термин подразумевает систему, в которой содержится вся информация о персональных данных. СКУД – это система контроля. Она определяет, имеет ли пользователь право получить доступ к сведениям.

Контроль за безопасностью ИСПДН

Государство обеспечивает контроль за ИСПДН. Персональные данные защищены от незаконного использования. Законодательство возлагает на всех операторов ответственность за защиту информационной системы. Данное условие регулируется статьей 13.11 КоАП РФ.

Работу операторов проверяют вышестоящие инстанции. В России к таким органам надзора относят:

• ФСТЭК;
• Роскомнадзор;
• ФСБ.

Выявление нарушений приводит к наказанию оператора. Те, кто игнорирует требования власти, могут получить уголовный срок или заплатить внушительный штраф.

Существуют системы контроля и управления доступом. Эти алгоритмы определяют, может ли тот или иной объект войти в базу и воспользоваться ее содержимым.

Уровни защиты персональных данных

На сегодняшний день актуальны четыре уровня защищенности персональных данных. Выбор уровня защиты зависит от следующих критериев:

• степень принадлежности сведений;
• тип угроз;
• количество субъектов.

Важно подобрать инфраструктуру для защиты ИСПДН, которая соответствует требованиям законодательства. От этого фактора зависит степень ответственности оператора.

Любая система информационной безопасности требует профессионального обслуживания. Большинство компаний не могут обеспечить защиту своими силами. Эксперты рекомендуют обратиться к специалистам.

Категории обрабатываемых персональных данных

Уровень защищенности персональных данных зависит от особенностей информации, которая подлежит обработке. Необходимо разделять виды сведений на более узкие категории. Представим краткие характеристики каждого типа.

Общедоступные

Доступ к персональным данным получают все, кто желает. Ограничений нет. Но источник, который открывает сведения, должен взять согласие владельца данных.

Чаще всего такие информационные сведения касаются:

• пола;
• возраста;
• региона проживания;
• образования;
• контактов.

Владелец данных вправе потребовать удалить информацию о нем с сайта или иного ресурса. Отказать ему оператор не может.

Защита для этой категории не отличается сложностью. Дело в том, что конфиденциальная информация (например, паспортные данные) не разглашаются. Это общие, универсальные сведения о человеке.

Биометрические

Персональные данные позволяют идентифицировать личность человека. Такие сведения являются уникальными. Подделать их невозможно. Уровень защиты – высокий.

Для использования требуется обязательное согласие носителя в письменном виде. К таким данным относят, например, отпечаток пальца, рисунок сетчатки и др.

При предоставлении биометрии система анализирует и делает вывод о соответствии материалов носителю. Обычно категория применяется на охранных объектах, в банках, в ведомственных организациях. Преимущество в том, что человеку не требуется документ для подтверждения личности. Отличается высокой степенью защищенности.

Специальные

Персональные данные данного подвида не позволяют идентифицировать личность. К таким сведениям относится информация о:

• здоровье;
• гендерных предпочтениях;
• религиозных убеждений;
• политических взглядах.

Тем не менее, для таких сведений требуется высокая защищенность. Система должна гарантировать, что данные никто не сможет использовать без письменного согласия носителя качеств. Важно, чтобы уровень защиты соответствовал ИСПДН.

Иные

Сюда входят персональные данные с разными уровнями защищенности. Закон не конкретизирует и не уточняет вид информации. Говорится только о том, что в категорию входят любые сведения, не относящиеся к первым трем.

Защита выбирается с учетом степени конфиденциальности данных. В системе ИСПДН одновременно может применяться любое количество средств для достижения цели.

Виды ИСПДН

Согласно документу, разработанному ФСТЭК, ИСПДН делятся на виды. Классификация основана на учете особенностей типа угроз.

Каждая группа обладает той или иной степенью защищенности системы. Определить принадлежность к категории можно, пользуясь следующими расчетами:

1. 70% критериев с высокой защищенностью и 30% среднего уровня = высокая степень.
2. 70% критериев с высокой или средней защитой + 30% с малой = общий уровень системы является средним.
3. Все остальные соотношения указывают на низкую уровень защиты системы персональных данных.

Кроме того, виды ИСПДН можно разделить по некоторым специальным признакам, например, по территориальной принадлежности или размещению, выходу в интернет и т.д.

Типы угроз

Уровень защиты для ИСПДН выбирают с учетом типа угроз. Специалисты устанавливают следующие виды:

1. Угрозы 1-го типа применяют нелегальные инструменты для в ПО, который использует система.
2. Угрозы 2-го типа вредят в прикладном ПО, работающим с ИСПДН.
3. Угрозы 3-его типа вмешиваются в работу с помощью неизвестных средств. Они минуют систему контроля и управления доступом.

Соответствие сложности защиты типу угрозы обеспечивает оптимальную работу. СКУД в этом случае оперативно их выявляет и реагирует. Угрозы блокируются.

Но такое деление условно. Специалисты выделяют сотни видов угроз системы информационной безопасности. Представим самые актуальные:

1. По виду несанкционированных действий (позволяют получить доступ к конфиденциальным данным удаленно).
2. По способу реализации. Например, возможна утечка речевой или видовой информации по техническим.
3. По виду источника. Сюда входят техногенные, антропогенные, стихийные угрозы.

Уровень защиты ИСПДН определяется с учетом класса угрозы. Чем он выше, тем серьезнее нужна мера. Кроме того, необходимо учитывать степень защищенности непосредственно персональных данных. Это довольно сложная задача. Ее лучше поручить специалистам.

Проверка защищенности персональных данных

Проверку защищенности персональных данных следует проводить в обязательном порядке. Таково требование действующего правительства. Официальное постановление гласит: обеспечение мер защиты ИСПДН – значимый этап работы всех операторов.

Проверка может быть обязательной или добровольной. Ответственные владельцы предприятий и компаний, различных ведомств, как правило, не дожидаются контроля от вышестоящих органов. Они прибегают к добровольной процедуре с целью защитить персональные данные от мошеннических действий.

Важно обеспечить оптимальную защиту ИСПДН, чтобы исключить угрозы всех типов. Лучше не полагаться на свои силы, а воспользоваться услугами профессионалов.