ГлавнаяУслугиЗащита персональных данныхУстановление уровней защищенности ПДн

Установление уровней защищенности ПДн

Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливает необходимость определения уровня защищенности персональных данных при их обработке в информационных системах персональных данных.

Классификация ИСПДн по категории обрабатываемых ПДн:

Согласно п.5. Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных":

  • Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
  • Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
  • Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».
  • Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных, не обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных и не обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».
  • Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.

Типы актуальных угроз персональным данным:

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

  • Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
  • Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
  • Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится Оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».

Категория обрабатываемых ПДн Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа
Обрабатываемые субъекты ПДн и количество субъектов;
Специальные > 100000 субъектов ПДн 1 УЗ 1 УЗ 2 УЗ
< 100000 субъектов ПДн 1 УЗ 2 УЗ 3 УЗ
сотрудники Оператора 1 УЗ 2 УЗ 3 УЗ
Биометрические 1 УЗ 2 УЗ 3 УЗ
Иные > 100000 субъектов ПДн 1 УЗ 2 УЗ 3 УЗ
< 100000 субъектов ПДн 1 УЗ 3 УЗ 4 УЗ
сотрудники Оператора 1 УЗ 3 УЗ 4 УЗ
Общедоступные > 100000 субъектов ПДн 2 УЗ 2 УЗ 4 УЗ
< 100000 субъектов ПДн 2 УЗ 3 УЗ 4 УЗ
Категория ПДн и количество субъектов Актуальные угрозы 1 типа Актуальные угрозы 2 типа Актуальные угрозы 3 типа
Спец. категорий ПДн и более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора УЗ-1 УЗ-1 УЗ-2
Спец. категорий ПДн и сотрудники оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора УЗ-1 УЗ-2 УЗ-3
Биометрические ПДн УЗ-1 УЗ-2 УЗ-3
Иные категории ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора УЗ-1 УЗ-2 УЗ-3
Иные категории ПДн данных сотрудников оператора или иные категории ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора УЗ-1 УЗ-3 УЗ-4
Общедоступные ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора УЗ-2 УЗ-2 УЗ-4
Общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора УЗ-2 УЗ-3 УЗ-4