Информационная система персональных данных (ИСПДн)
ИСПДн — определение по 152-ФЗ
ИСПДн — это информационная система персональных данных: совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. Определение закреплено в статье 3 (п. 10) 152-ФЗ«О персональных данных».
Проще говоря, ИСПДн — любая система организации, где хранятся или обрабатываются данные людей: 1С и кадровые базы, CRM, медицинские системы, сайт с формой заявки, облачные сервисы. Как только в системе появляются персональные данные субъектов (сотрудников, клиентов, пациентов), она становится ИСПДн и подпадает под требования 152-ФЗ.
Из чего состоит ИСПДн
- Базы данных с персональными данными субъектов (ФИО, контакты, документы)
- Информационные технологии обработки — прикладное и системное ПО
- Технические средства — серверы, рабочие станции, сетевое оборудование
- Средства защиты информации (СЗИ), применяемые к системе
- Операторы и пользователи, обрабатывающие данные
Уровни защищённости ИСПДн: УЗ-1 – УЗ-4
Для каждой ИСПДн устанавливается один из четырёх уровней защищённостипо Постановлению Правительства №1119 от 01.11.2012. УЗ-1 — наивысший, УЗ-4 — базовый. Уровень определяет, какие меры защиты из Приказа ФСТЭК №21 обязательны.
- УЗ-1 — максимальные требования (специальные категории ПДн, угрозы 1 типа)
- УЗ-2 — высокие требования
- УЗ-3 — средние требования
- УЗ-4 — базовые требования (общедоступные/иные ПДн, угрозы 3 типа)
Как определить уровень защищённости ИСПДн
Уровень защищённости рассчитывается по трём факторам (ПП-1119):
- Тип актуальных угроз — 1 тип (угрозы НДВ в системном ПО), 2 тип (НДВ в прикладном ПО), 3 тип (угрозы, не связанные с НДВ)
- Категория персональных данных — специальные, биометрические, иные или общедоступные
- Объём и принадлежность субъектов — более или менее 100 000, сотрудники или сторонние лица
Подробная инструкция по определению уровня защищённости ПДн — с таблицей сопоставления факторов и примерами.
Требования к защите ИСПДн (Приказ ФСТЭК №21)
Состав мер защиты ИСПДн определяет Приказ ФСТЭК России №21 от 18.02.2013. Базовый набор включает идентификацию и аутентификацию (ИАФ), управление доступом (УПД), антивирусную защиту (АВЗ), регистрацию событий безопасности, контроль целостности и анализ защищённости. Чем выше уровень защищённости — тем больше обязательных мер.
КиберОснова закрывает требования к защите персональных данных: ведение перечня ИСПДн, расчёт уровня защищённости, подбор мер по Приказу №21 и контроль их выполнения.
Вопросы об ИСПДн
Связанные разделы
Защитите ИСПДн по 152-ФЗ с КиберОснова
Учёт ИСПДн, расчёт уровня защищённости, подбор мер по Приказу ФСТЭК №21 и контроль соответствия — в одной платформе.