Уровни защищенности персональных данных
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.
Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:
1 группа — специальные категории ПДн, персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
2 группа — биометрические ПДн, сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
3 группа — общедоступные ПДн, персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных», то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа — иные категории ПДн, не представленные в трех предыдущих группах.
По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:
И наконец, типы актуальных угроз:
В соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждёнными Постановлением Правительства РФ от 01.11.2012 № 1119, для ИСПДн актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Угрозы 1-го и 2-го типа не актуальны в связи с тем, что работа ИСПДн планируется на лицензионном системном программного обеспечении, в защищённой информационной среде, созданной на основе сертифицированных средств защиты информации.
Как определить уровень защищенности информационных систем
Верное определение уровня защищенности персональных данных важно для принятия адекватных мер защиты. Если уровень завышен — деньги потрачены зря. Учреждения здравоохранения используют множество информационных систем персональных данных, поэтому рассмотрим параметры определения уровня защищенности на примере медиков.
Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
Таким образом, сейчас перечень обязательных организационных и технических мер по обеспечению безопасности персональных данных определяется в соответствии с установленным для информационной системы уровнем защищенности персональных данных.
В свою очередь уровни защищенности персональных данных при их обработке в информационных системах определяются исходя из следующих условий:
1) категория субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: сотрудники или иные лица;
2) количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: до 100 000 или более 100 000;
3) категория персональных данных, обрабатываемых в информационной системе:
4) тип актуальных угроз безопасности персональных данных:
Чем выше определен уровень защищенности персональных данных, тем больше мер по обеспечению безопасности персональных данных требуется выполнить. Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более дорогую систему защиты персональных данных. Рассмотрим типовые варианты информационных систем, которые используются в большинстве медицинских учреждений.
Защита типовой системы: скромно и со вкусом
Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн. Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.
Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений. В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы. В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т. е. потребуется выполнение минимального перечня организационных и технических мер.
ИС федерального масштаба: все, как у людей
Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.
Несмотря на то что категория субъектов ПДн и обрабатываемые данные в обеих системах практически аналогичны, объединять их в одну ИС все же не стоит, поскольку цели обработки ПДн в первом случае — это исполнение требований трудового законодательства, а во втором — требований Министерства здравоохранения и социального развития Российской Федерации.
Медицинские информационные системы: зона особого внимания
С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:
При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:
В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных.
Прочие информационные системы в сфере здравоохранения
В зависимости от инфраструктуры и задач учреждения в организации могут функционировать и иные ИС. Для них действует точно такой же алгоритм определения требуемого уровня защищенности ПДн, что и для систем, речь о которых шла выше.
Если субъекты и цель обработки ПДн в нескольких информационных системах совпадают, то их можно объединить и выстроить для них единую систему защиты персональных данных.
В заключение напомним, что уровень защищенности персональных данных в информационных системах определяется оператором персональных данных самостоятельно, а следовательно, и выбор организационных и технических мер по защите персональных данных лежит на плечах оператора. Однако не стоит забывать, что завышение уровня защищенности приведет к увеличению стоимости системы защиты персональных данных, а занижение уровня защищенности персональных данных является нарушением. Дабы не ломать себе голову вопросом «а правильно ли я классифицировал ИС?», доверьтесь профессионалам.
Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Что такое ФЗ-152 о персональных данных
Федеральный закон РФ № 152-ФЗ «О персональных данных» вступил в силу 26.01.2007. Этот документ определяет требования по работе с персональными данными (ПДн) российских граждан, обеспечивает защиту их интересов и надлежащий уровень защиты. Собирать, обрабатывать и хранить ПДн людей (сотрудников или клиентов, подписчиков или посетителей сайта) можно (за некоторыми исключениями) только с их согласия.
Сама по себе идея закона не нова. Норвегия и Франция озаботились этим вопросом в конце 19-го века. А в 1948 году ООН подготовила Всеобщую декларацию прав человека, где описала в том числе и правила обработки личных данных граждан. В 1981 году Совет Европы подписал конвенцию по обработке ПДн, а 2006 году её ратифицировала Россия. 1 сентября 2015 начал действовать закон 242-ФЗ о внесении изменений в отдельные законодательные акты, в частности в 152-ФЗ. Согласно ему, сбор и изменение персональных данных российских граждан допускается только на территории РФ.
Другие страны тоже работают в этом направлении. Например, Китай 1 июня 2017 года подписал законопроект «О кибербезопасности КНР», где очень детально описал правила использования персданных. Существует закон, действующий на территории Европы: GDPR (General Data Protection Regulation). Это документ о защите данных и конфиденциальности, действующий в Европейском союзе (ЕС) и Европейской экономической зоне (ЕЭЗ). Общий регламент по защите данных детальный и очень жёсткий, а потому требует внимательного изучения и соблюдения. При обработке персональных данных граждан разных стран нужно учитывать специфику законодательства страны в отношении персданных.
В целом, подобные законы полезны и нужны людям, поскольку закрывает для посторонних доступ к личным данным без разрешения от человека на использование этой информации.
Уровни защищённости персональных данных
Поскольку категории ПДн бывают разные, требования по их защите тоже отличаются. В соответствии с законодательством РФ определены 4 уровня защищенности (УЗ) персональных данных. Мы рассмотрим их основные особенности, детальнее можно ознакомиться в тексте закона.
УЗ-1
Высший уровень защиты. Требуется, когда информационная система обрабатывает специальные, биометрические или иные категории данных, несанкционированное использование которых может повлечь значительные угрозы жизни и здоровья субъекту ПДн, или финансовые последствия. Например, информация о расовой и национальной принадлежности, о политических и религиозных взглядах, состоянии здоровья и др. Требуется специальное ПО, шифрование и соблюдение большого списка требований. Например:
УЗ-2
Используются чуть менее жёсткие требования для защиты данных, компрометация которых может привести к негативным последствиям для субъектов ПДн. Обязательно наличие систем резервного копирования и защиты от взлома. Этот уровень устанавливается, когда, например, имеются угрозы второго типа и ведётся работа с общедоступными личных данными при количестве от 100 тысяч человек. Из дополнительных требований:
УЗ-3
Уровень защиты, необходимый для хранения иных данных и работе с общедоступными ПДн с количеством субъектов не более ста тысяч. Из обязательных требований можно выделить следующие:
УЗ-4
Самый простой, базовый уровень защиты. Используется для хранения общедоступных персональных данных, при наличии угроз третьего типа и обработке других категорий меньше 100 тысяч человек). Для защиты ПДн обязательно наличие антивируса. Из дополнительных требований:
Стоит заметить, что в одной информационной системе может обрабатываться несколько категорий ПДн. Уровень защиты определяется, исходя из наиболее чувствительной к компрометации категории. Кроме того, существует классификация защищенности государственных информационных систем. Классы (К1, К2, К3) определяются уровнем значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштабом информационной системы.
Проверка выполнения обязательных норм безопасности должна осуществляться не реже, чем раз в три года
Зачем нужны облачные решения по защите ПДн
Силами компании бывает непросто обеспечить нужный уровень защиты персональных данных и поддерживать его в дальнейшем. Поэтому многие коммерческие и государственные организации выбирают облачные решения. В чём преимущество такого выбора?
В целом, есть смысл выбирать провайдера с более высокими уровнями защиты. Вполне возможно, что бизнес изменится, а УЗ-3 превратится в УЗ-2. И наоборот. Жёсткая привязка провайдера к одному уровняю потребует от клиента миграции в другое облако. А миграция — это всегда боль. Поэтому лучше думать на будущее и выбирать подрядчика, способного быстро поменять уровень защиты на тот, который требуется клиенту.
Примеры защиты ПДн для разных организаций
Теория может показаться слишком сложной. Поэтому давайте разберём несколько примеров организации защиты информации в организациях разного типа.
Медицинская информационная система. Можно сказать, что это зона особого внимания, ведь сотрудники медучреждений работают с крайне чувствительной информацией, относящейся к специальной категории данных. В рамках ИТ-инфраструктуры решаются задачи по:
В зависимости от типа имеющихся угроз и количества обрабатываемых субъектов ПДн медицинской информационной системе понадобится обеспечить соответствие стандарту безопасности по УЗ-3 или УЗ-2.
Таксопарк. Многие службы такси на рынке уже добрый десяток лет, а их владельцы принимают на работу ИП и физических лиц. Данные о сотрудниках подпадали бы под требования УЗ-4, если бы не обязанность компании осуществлять медицинский контроль сотрудников. Но помимо сбора медицинских данных, относящихся к специальной категории, компания может запрашивать и хранить справки о состоянии здоровья сотрудника. Соответственно, уровень защиты повышается как минимум до УЗ-3.
Интернет-магазин. Собираемые имена, телефоны и email относятся к общедоступной категории данных. То есть достаточно УЗ-4. Однако есть нюансы. Например, при заказе продуктов питания клиент может указать свои предпочтения, выбирая халяльные или кошерные товары. Это можно расценить как сведения о религиозной принадлежности и убеждениях. Аналогично можно подвести под категорию иных данных вегетарианские убеждения, хотя это может быть просто жизненной позицией человека, которому просто нельзя употреблять в пищу мясо. Грань очень зыбкая, и определить её крайне сложно.
Дизайн-студия. Компания использует западного облачного провайдера для обработки общедоступных данных клиентов (ФИО, телефон, email). Эти данные относятся к категории персональных. Можно ли хранить бэкапы таких баз данных на зарубежных серверах? Да, можно. Первоначальный сбор — обязательно на территории России, а обработка допускается и за рубежом. Скорее, всего здесь достаточно УЗ-4.
Облачные провайдеры также могут предложить гибридное решение, когда клиент разворачивает частное облако на своей инфраструктуре, а провайдер обеспечивает её защищённость и помогает получить необходимые сертификаты.
Чем грозит несоблюдение закона
Поскольку в том или ином виде данные собирает практически любая компания, вопрос соблюдения ФЗ-152 касается всех. Ответственность за нарушение закона о персональных данных может быть дисциплинарной, административной и даже уголовной. Подробнее о том, что ждёт физических и юридических лиц, нарушивших закон, рассказывается в этой статье.
Роскомнадзор периодически проверяет компании на предмет сбора ими ПДн и наличия регистрации как оператора персональных данных. Если выявляются нарушения, следуют штрафы согласно статье 13.11 КоАП РФ.
Например, за нарушение требования о локализации персональных данных грозит штраф в разщмере от 30 тысяч до 6 млн рублей. Размер зависит от личности нарушителя: физлицо, юрлицо или должностное лицо. Штрафы также накладываются в тех случаях, когда оператор не защищает информацию или не обеспечивает запись, систематизацию, накопление, хранение информации в базах данных, находящихся на территории России. При повторно выявленном нарушении размер штрафа увеличивается.
Важно подчеркнуть, что санкции могут быть наложены не только за халатное отношение к безопасности персданных, но и за отсутствие соответствующей внутренней документации. КоАП предусматривает порядка 12 различных статей со штрафами за нарушение процессов обработки персональных данных – это могут быть отсутствие «Политики в отношении обработки персональных данных» или «Модели угроз безопасности». И следует помнить, что при невыполнении требований по защите персональных данных Роскомнадзор вправе приостановить функционирование информационной системы со всеми вытекающими убытками для владельца.
На что ещё обратить внимание
В 152-ФЗ нет запрета на хранение данных в облаке. Главное условие — ЦОД выбранного облачного провайдера должен находиться в России. Уже имеющиеся данные можно хранить и обрабатывать на зарубежных серверах. Но первичное накопление и обработка должны выполняться на серверах, которые физически находятся на территории РФ.
Если обеспечить соответствие УЗ-4 и даже УЗ-3 сравнительно нетрудно, то обеспечить более высокий уровень защиты локальных физических серверов по силам далеко не всем. Потребуется специализированное оборудование, сертифицированный софт, а также компетентные сотрудники, которые способны настроить систему должным образом и следить за её работоспособностью. Чтобы получить нужный уровень защиты быстро и за разумные деньги, стоит воспользоваться облачными услугами.
Не все облачные провайдеры могут обеспечить такой уровень защиты. Поэтому в обязательном порядке запрашивайте у подрядчика сертификаты и аттестаты, подтверждающие заявленный уровень защищённости. Нередки случаи, когда провайдер обещает УЗ-1 для хранения ПДн клиента по ФЗ-152, а по факту его инфраструктура находится на уровне УЗ-3. Или УЗ-2, что уже лучше, но всё равно недостаточно.
Обратите на это внимание: из крупных облачных провайдеров в России на уровне УЗ-1 аттестовано не более 5 провайдеров, чуть больше —на уровне УЗ-2. Так что обязательно нужно запрашивать сертификаты.
Для уровней УЗ-4 и УЗ-3 требования по защите легко выполняются, если вы размещаете информационную систему в уже аттестованном ЦОД. При этом вам достаточно выполнить минимальный набор организационных и технических мер.
Выводы
На что опираться при выборе облачного провайдера, предлагающего услуги по защите персональных данных? Предлагаем базовый перечень требований, которым вы можете руководствоваться при выборе подрядчика.
Вам надо по-другому работать с наличкой. Кого прижмут налоговики и банки? Забирайте запись, пожалуй, лучшего вебинара «Клерка»: «Как будут контролировать наличку по 115-ФЗ».
Только сегодня можно забрать запись со скидкой 60%. Программу вебинара смотрите здесь
Категории персональных данных
Все без исключения операции, связанные с обработкой персональных данных в ИСПДн, предполагают следование требованиям ФЗ-152 и другим нормативно-правовым актам, касающимся использования ПДн. В частности, любой организации придется принимать определенные меры технической и организационной безопасности, предварительно определив уровень защищенности ИСПДн (до 2013 года было разделение на классы), что предусматривает Постановление Правительства РФ № 1119. Чтобы понять, насколько эффективно система нейтрализует факторы, приводящие к несанкционированному доступу и применению личных сведений субъектов ПДн, нужно определить, какие категории персональных данных вы обрабатываете. Этот параметр наравне с типом УБ и другими показателями повлияет на причисление ИС к 1, 2, 3 или 4 уровню.
Установленные законом категории обрабатываемых персональных данных
Разделение ПДн необходимо для того, чтобы устанавливать отдельные правила обработки и защиты для информации разного характера, а также наказания организаций, которые их нарушают. Действующее российское законодательство предусматривает 4 категории обрабатываемых ПДн:
Несмотря на внесение различных изменений, четко прописаны только три первые группы, а вот в отношении последней нет конкретики. Перед операторами стоит задача понять, с какими сведениями они работают, и только потом устанавливать степень защищенности ИС.
Категория общедоступных ПДн
Отличительной особенностью таких персональных данных является возможность их получения неограниченным кругом лиц. Они присутствуют в открытых источниках, например, справочниках и иных документах, при этом гражданин должен предварительно дать свое согласие на размещение. В соответствии с классификацией ФЗ-152 в данную категорию персональных данных входят:
Нужно учитывать, что если гражданин не согласен с тем, что информация о нем общедоступна, то он имеет право потребовать её удалить из источника путем подачи заявления. Также это может быть сделано при выдаче соответствующего решения государственного органа либо суда.
Биометрические ПДн
Практически на любом предприятии есть система охраны и видеонаблюдения, а также ограничения доступа на территорию либо в отдельные помещения. В качестве идентификатора лиц, которые имеют право находиться в определенных зонах или выполнять определенные действия, выступают, как правило, фотографии, отпечатки пальцев или рисунок сетчатки глаза. Эти и другие физиологические особенности входят в категорию биометрических ПДн, а их использование в обязательном порядке требует получения письменного согласия владельцев. Документ не требуется только, если речь идет об использовании данных в целях обеспечения государственной безопасности, работы госструктур, а также осуществлении правоохранительной деятельности.
Работая с такими сведениями, оператору нужно брать в расчет ограничение по условиям обработки — их разрешено собирать, дополнять, хранить и т.д. только до тех пор, пока не достигнута цель обработки или не прошел срок, прописанный в подписанном субъектом разрешении.
Что является специальной категорией персональных данных?
В данную группу входят:
Если общедоступные ПДн позволяют в совокупности определить субъекта, то специальные персональные данные такой возможности не дают. Для их обработки требуется выполнение одного из условий:
Категория иных персональных данных
Четкого определения, какие сведения могут быть отнесены в эту группу, в нормативно-правовой документации нет. Указано только, что речь идет о ПДн, не относящихся к предыдущим категориям. То есть оператору, чтобы идентифицировать информацию как «иную», придется убедиться в том, что она не является биометрической, общедоступной или специальной.
Категории субъектов персональных данных
В процессе установления уровня защищенности, что требуется каждому оператору ИСПДн, необходимо проанализировать не только особенности обрабатываемой личной информации, но и определиться с категориями субъектов ПДн. В широком представлении под субъектами подразумеваются граждане, которых можно идентифицировать, используя те или иные виды касающихся их сведений. Но если говорить о расчете итогового показателя, который отображает способность ИС нейтрализовать угрозы, то здесь правительственное Постановление № 1119 устанавливает две категории:
В дополнение к этому при расчете уровня защищенности нужно будет определиться с количеством граждан, чьи ПДн обрабатываются — меньше или больше 100 000 субъектов. После этого останется установить типы актуальных угроз, и можно приступать к разработке организационно-технических мероприятий, направленных на защиту от неправомерных действий с персональными данными.
Уровни защищенности персональных данных
Увеличение количества угроз и объемов обрабатываемой информации привело к формированию нормативно-правовой базы, устанавливающей требования к операторам персональных данных. Поскольку информационные системы между собой существенно отличаются, государственные органы предусмотрели отдельные правила по обеспечению безопасности для ИС с разным уровнем защищенности ПДн. Данный показатель позволяет определить, насколько эффективно организация справляется с угрозами. Рассчитывают его с учетом нескольких параметров, о которых вы узнаете, прочитав данный обзор. Сразу отметим, что для правильного определения требуется доскональное знание законодательной базы, опыт и навыки работы в сфере ИБ.
Длительный период времени классификация ИСПДн осуществлялась не по уровню защищенности персональных данных, а по классам. Современная терминология и разделения закреплены в правительственном Постановлении № 1119, утверждённом 1 ноября 2012 года. В документе представлена таблица ПД, описаны критерии определения уровней (всего их предусмотрено 4), а также прописаны конкретные меры профилактики несанкционированного доступа к конфиденциальным сведениям
Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.
Определение уровня защищенности персональных данных
Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.
Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:
1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;
2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта и используемые для установления личности, например, фотография или отпечатки пальцев;
3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа — иные категории ПДн, не представленные в трех предыдущих группах.
По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:
К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы.
И наконец, типы актуальных угроз:
Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.
Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:
Таблица уровней защищенности персональных данных
Классификация персональных данных в контексте установления уровня защищенности ИСПДн
Одной из задач, которую предстоит выполнить аутсорсинговым (предпочтительнее) или штатным специалистам перед определением способа нейтрализации угрозы, является установление категории ПДн (раньше присваивались классы), подразделяемые на группы:
Определение типа ПДн осуществляется отдельно для каждой ИСПДн организации с учетом ее характеристик.
Как происходит определение уровня защищенности персональных данных?
На показатель, кроме категории обрабатываемых личных сведений граждан, влияют и другие параметры:
Уровни обозначаются УЗ1, УЗ2, УЗ3 и УЗ4, при этом самым высоким (то есть требующим наиболее серьезной защиты) является первый, а самым низким — четвертый.
Важность правильного определения уровня защищенности ИСПДн
На основании проделанной работы по установлению степени защиты на каждую из ИС составляется акт классификации и формируется список требований, которые предстоит соблюдать при совершении различных операций с ПДн. Чем выше уровень, тем более продуманной и многоаспектной должна быть система защиты, а это напрямую влияет на сумму, которую придется потратить владельцам организации. Поэтому завышать УЗ нет никакого смысла, но и занижать тоже, иначе могут быть наложены санкции контролирующих органов.
Законодательные требования к ИСПДн с разным уровнем защищенности
Выбор, внедрение мер и средств нейтрализации угроз базируется на требованиях правительственного постановления 2012 года и Приказа ФСТЭК № 21 от 18 февраля 2013 года. Именно в последнем документе четко прописано, что нужно обеспечить для ИСПДн с 4, 3, 2 и 1 уровнем защищенности. Приведем пример того, что понадобится организациям с третьим классом ИС:
В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.