Практика

Уровень 2 - Первые трудности

Продолжаем прохождение квеста "Защита персональных данных".

На первом уровне мы вошли в комиссию по приведению информационной системы персональных данных (ИСПДн) в соответствие с требованиями 152-ФЗ. Сейчас перед нами встает более сложная и высокоуровневая задача - классификация информационной системы персональных данных.

Первое, что стоит держать в уме: периметр ИСПДн не обязательно совпадает с периметром всей локально-вычислительной сети. В большинстве случаев в локальной сети "нарезается" сегмент, в границах которого происходит обработка персональных данных (например, пользователи 1С и компьютеры менеджеров по продажам, работающие с клиентской базой), который и будет считаться нашей ИСПДн. Хотя при финансовых возможностях "выше среднего" можно расширить ИСПДн до границ всей нашей необъятной корпоративной сети. В таком случае практически полностью отпадает необходимость персональной коммуникации с каждым сотрудником на предмет участвует ли он/она в процессах обработки персональных данных.

Хотя лучше, конечно, такую работу провести, например, подключив ресурсы другого члена нашей комиссии: специалиста по работе с персоналом, если он есть. Наша главная цель на данном этапе – узнать: кто, на каких узлах и в каких объемах обрабатывает персональные данные. Этим и будет определяться класс нашей ИСПДН.

Классификация персональных данных

Согласно совместному приказу ФСТЭК/ФСБ/Мининформсвязи предусмотрено 4 класса ИСПДн - от К4 до К1.

Класс определяется по соотношению критериев категория данных/количество субъектов. Приказом вводится четыре, определяемые составом персональных данных. Количество субъектов, как ни странно, определяется не только их количеством, но и принадлежностью.

Всего существует три количественных показателя:

  • в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
  • в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
  • в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Так, если даже в вашей информационной системе хранятся персональные данные более чем 1000 субъектов, но все они являются сотрудниками одной организации, то можете смело выбирать значение 3.

Таблица 1. Критерии классификации ИСПДн

Отношение персональных данных к разным классам

При классификации персональных данных применяется принцип "от наивысшего элемента в массиве", и если, например, из 1 000 000 записей о физических лицах, хотя бы одна содержит сведения о состоянии здоровья, то данной ИСПДн придется назначить класс К1. Защищать ИСПДн с таким классом – это примерно как строить снежные крепости – энергии море, результат непредсказуем. Причем материалы, точнее средства защиты, придется использовать только сертифицированные.

Намного проще дела обстоят с К3 и К2 – требования к защищенности ниже, сертифицированная защита не обязательна, от обязательной «помощи» со стороны лицензированных рыцарей можно почти всегда отказаться. Поэтому, если у нас и принято накапливать ПДн с критериями по К1, например, данные о медосмотрах сотрудников, лучше обратиться к нехитрым приемам и искусственно понизить класс обрабатываемых данных до К2 или К3.

К числу самых распространенных способов понижения класса ИСПДн относятся: отказ от сбора части информации (например, графы «национальность»), дробление на базы данных с меньшим объемом, использование кодификаторов (18-23, 24-29 лет и т.д.), и наконец, перевод электронных ПДн на бумажные носители, защита которых ограничится хранением под замком.

От теории к практике

Итак, ближе к делу, мы должны получить перечень персональных данных – структурированный документ, содержащий информацию обо всех категориях и видах персональных данных, обрабатываемых оператором.

При его подготовке следует уделить внимание комплексному подходу при анализе бизнес-процессов нашей компании. Распространен пример, когда на секретарском компьютере хранятся "сканы" паспортов всех, кому она когда-либо заказывала авиабилеты, совсем необязательно включать данный компьютер в ИСПДн, намного проще удалить все *.jpg и составить для офис-менеджера понятную инструкцию, исключающую повторение таких случаев. Сам перечень может выглядеть в виде обычной таблицы, на служебном бланке.

За перечнем следует формирование Акта классификации нашей ИСПДн, с указанием структуры сети (автономная, ЛВС, распределенная), наличия подключения к интернет (если да, то с высокой вероятностью потребуется firewall для внутрисетевого экранирования), режима обработки (одно- или многопользовательский), разграничения прав пользователей и места базирования ИСПДн (целиком или частично; в РФ или за границей).

На выходе документа нам потребуется своей доброй волей назначить нашей ИСПДн класс и это решение мы можем принимать полностью самостоятельно, без необходимости в сторонних услугах. Класс ИСПДн в будущем может пересматриваться оператором в любую сторону, при практически любых для этого основаниях, правда таким же правом наделены и регуляторы. Акт станет пропуском в орденреестр операторов персональных данных, к которому мы присоединимся на следующем этапе.

На новый уровень! >>