Чтобы анализировать трафик, подбирать для вас подходящий контент и рекламу, мы используем cookies и похожие технологии в соответствии с принятой Политикой в отношении обработки персональных данных. Продолжая работу с сайтом, вы соглашаетесь с этим. Вы всегда можете отключить файлы cookies в настройках вашего браузера.
Уровни защиты персональных данных: критерии и подходы к обеспечению безопасности
05.07.2024 Персональные данные — это информация, которая связана с определенным или определяемым лицом. Она включает в себя личные данные, профессиональные данные, данные о здоровье и другие конфиденциальные сведения. Обработка и защита персональных данных регламентируется Федеральным законом № 152-ФЗ "О персональных данных" и требует соблюдения определенных мер защиты. Средства защиты персональных данных на предприятиях включают организационные и технические меры. Организационные меры включают разработку и внедрение политики защиты данных, обучение сотрудников правилам обработки и хранения информации, разграничение доступа к данным в зависимости от ролей сотрудников и использование двухфакторной аутентификации. Технические меры включают шифрование информации, установку систем мониторинга и аналитики, обновление программного обеспечения и создание резервных копий данных.
Уровни защиты персональных данных определяются в зависимости от типа информационной системы (ИСПДн), актуальных угроз и количества обрабатываемых данных. Всего существует четыре уровня защищенности:
Уровень защищенности 4 (УЗ 4) — информационные системы, для которых нарушение безопасности персональных данных не приводит к негативным последствиям для субъектов персональных данных.
Уровень защищенности 3 (УЗ 3) — информационные системы, для которых нарушение безопасности персональных данных может привести к незначительным негативным последствиям для субъектов персональных данных.
Уровень защищенности 2 (УЗ 2) — информационные системы, для которых нарушение безопасности персональных данных может привести к негативным последствиям для субъектов персональных данных.
Уровень защищенности 1 (УЗ 1) — информационные системы, для которых нарушение безопасности персональных данных может привести к значительным негативным последствиям для субъектов персональных данных.
Определение уровня защищенности производится на основе анализа следующих факторов:
тип ИСПДн;
актуальные угрозы;
количество обрабатываемых данных;
принадлежность субъекта персональных данных к оператору (сотрудник или не сотрудник).
Типы ИСПДн определяются в соответствии с Постановлением Правительства № 1119 и делятся на шесть категорий: специальные, биометрические, общедоступные, иные и персональные данные сотрудников.
Актуальные угрозы также определяются на основе Постановления Правительства № 1119 и включают угрозы первого, второго и третьего типа. Для определения уровня защищенности персональных данных используются специальные системы и калькуляторы на сайте ФСТЭК. При выработке стратегии снижения риска необходимо оценить возможные угрозы и воздействия на бизнес, а также принять решение о принятии риска, устранении угроз или добавлении проверок для смягчения воздействия риска.