КиберосноваSGRC
Глоссарий ИБ

Информационная система персональных данных (ИСПДн)

ИСПДн — это информационная система, в которой организация обрабатывает персональные данные. Защита регулируется 152-ФЗ, ПП-1119 и Приказом ФСТЭК №21. Уровень защищённости — от УЗ-4 до УЗ-1.

ИСПДн — определение по 152-ФЗ

ИСПДн — это информационная система персональных данных: совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. Определение закреплено в статье 3 (п. 10) 152-ФЗ«О персональных данных».

Проще говоря, ИСПДн — любая система организации, где хранятся или обрабатываются данные людей: 1С и кадровые базы, CRM, медицинские системы, сайт с формой заявки, облачные сервисы. Как только в системе появляются персональные данные субъектов (сотрудников, клиентов, пациентов), она становится ИСПДн и подпадает под требования 152-ФЗ.

Из чего состоит ИСПДн

  • Базы данных с персональными данными субъектов (ФИО, контакты, документы)
  • Информационные технологии обработки — прикладное и системное ПО
  • Технические средства — серверы, рабочие станции, сетевое оборудование
  • Средства защиты информации (СЗИ), применяемые к системе
  • Операторы и пользователи, обрабатывающие данные

Уровни защищённости ИСПДн: УЗ-1 – УЗ-4

Для каждой ИСПДн устанавливается один из четырёх уровней защищённостипо Постановлению Правительства №1119 от 01.11.2012. УЗ-1 — наивысший, УЗ-4 — базовый. Уровень определяет, какие меры защиты из Приказа ФСТЭК №21 обязательны.

  • УЗ-1 — максимальные требования (специальные категории ПДн, угрозы 1 типа)
  • УЗ-2 — высокие требования
  • УЗ-3 — средние требования
  • УЗ-4 — базовые требования (общедоступные/иные ПДн, угрозы 3 типа)

Как определить уровень защищённости ИСПДн

Уровень защищённости рассчитывается по трём факторам (ПП-1119):

  • Тип актуальных угроз — 1 тип (угрозы НДВ в системном ПО), 2 тип (НДВ в прикладном ПО), 3 тип (угрозы, не связанные с НДВ)
  • Категория персональных данных — специальные, биометрические, иные или общедоступные
  • Объём и принадлежность субъектов — более или менее 100 000, сотрудники или сторонние лица

Подробная инструкция по определению уровня защищённости ПДн — с таблицей сопоставления факторов и примерами.

Требования к защите ИСПДн (Приказ ФСТЭК №21)

Состав мер защиты ИСПДн определяет Приказ ФСТЭК России №21 от 18.02.2013. Базовый набор включает идентификацию и аутентификацию (ИАФ), управление доступом (УПД), антивирусную защиту (АВЗ), регистрацию событий безопасности, контроль целостности и анализ защищённости. Чем выше уровень защищённости — тем больше обязательных мер.

КиберОснова закрывает требования к защите персональных данных: ведение перечня ИСПДн, расчёт уровня защищённости, подбор мер по Приказу №21 и контроль их выполнения.

Вопросы об ИСПДн

Защитите ИСПДн по 152-ФЗ с КиберОснова

Учёт ИСПДн, расчёт уровня защищённости, подбор мер по Приказу ФСТЭК №21 и контроль соответствия — в одной платформе.