Оценка уровня защищенности персональных данных — процедура определения класса информационной системы ПДн (ИСПДн) и проверка соответствия примененных средств требованиям законодательства. Результаты мероприятия подтверждают, что обработка персональных данных выполняется с необходимыми мерами обеспечения безопасности.
Законодательство РФ обязывает операторов ПДн проводить такую проверку согласно 152-ФЗ и постановлению Правительства № 1119 от 01.11.2012. Несоблюдение требований грозит штрафами до 75 000 рублей для юридических лиц и приостановкой деятельности до 90 суток.
Классы защищенности ИСПДн и факторы их определения
Постановление Правительства № 1119 устанавливает 4 класса системы обработки ПДн:
- Класс К1 присваивается системам, где обрабатываются специальные или биометрические данные более 100 000 субъектов, а актуальные угрозы включают возможность удаленного воздействия из сетей связи общего пользования.
- К2 определяется для ИСПДн с обработкой специальных или биометрических данных менее 100 000 человек либо иных категорий ПДн более 100 000 субъектов при наличии рисков удаленного доступа.
- К3 применяется к комплексам обработки персональных данных менее 100 000 субъектов без специальных категорий, когда возможно локальное воздействие нарушителя.
- К4 присваивается системам с минимальными требованиями к защите, где обрабатываются общедоступные данные ограниченного круга лиц без угроз удаленного вмешательства.
Определение класса также зависит от типа ИС — автоматизированная рабочая станция, локальная сеть или распределенная система с удаленным доступом.
Типы угроз безопасности ПДн
Приказ ФСТЭК № 17 от 11.02.2013 классифицирует угрозы по источникам происхождения и объектам воздействия:
- Внешние возникают от лиц, не имеющих санкционированного доступа к системе: хакерские атаки через интернет, подключение к незащищенным портам оборудования, перехват радиоэлектронных каналов передачи данных.
- Внутренние исходят от сотрудников с легитимным доступом к ИСПДн: умышленное копирование баз, использование служебных полномочий для просмотра конфиденциальных записей, случайное удаление файлов.
- Воздействие на технические средства включает эксплуатацию уязвимостей программного обеспечения, внедрение вредоносного кода, нарушение целостности аппаратной части серверов хранения ПДн.
- Атаки на информационные каналы связи предполагают перехват трафика при передаче между узлами системы, подмену сетевых пакетов, отказ в обслуживании.
Перечень возможных рисков разрабатывается индивидуально для каждой ИСПДн с учетом особенностей архитектуры и условий эксплуатации.
Средства защиты информации в ИСПДн
Приказ ФСТЭК № 21 от 18.02.2013 определяет базовый набор мер обеспечения ИБ:
- Идентификация и аутентификация пользователей — применение средств контроля доступа с использованием паролей, токенов или биометрических характеристик для подтверждения личности при входе в систему.
- Управление доступом — разграничение полномочий пользователей по принципу минимально необходимых прав для выполнения служебных функций без возможности просмотра лишних данных.
- Регистрация событий безопасности — фиксация всех действий с персональными данными в защищенных журналах для последующего анализа инцидентов и выявления нарушений.
- Антивирусная защита — использование сертифицированных средств обнаружения и нейтрализации вредоносного программного обеспечения на всех узлах информационной системы.
- Криптографическая защита данных — шифрование персональных данных при передаче по открытым каналам связи и хранении на носителях с использованием аттестованных криптосредств.
- Контроль целостности — применение механизмов проверки неизменности программного обеспечения и критичных файлов конфигурации для предотвращения несанкционированной модификации.
Состав средств защиты варьируется в зависимости от класса ИСПДн: для К1 предъявляются максимальные требования, для К4 — минимальные.
Процедура проверки защищенности персональных данных
Оценка соответствия системы обработки ПДн нормативным требованиям включает этапы:
- Определение класса защищенности — анализ категорий обрабатываемых данных, количества субъектов и актуальных угроз для присвоения корректного класса согласно постановлению № 1119.
- Разработка модели угроз — выявление всех возможных векторов атак на информационную систему с учетом технической архитектуры и условий размещения оборудования.
- Выбор средств защиты информации — подбор технических и организационных мер, удовлетворяющих требованиям приказа ФСТЭК № 21 для установленного класса ИСПДн.
- Техническая проверка — тестирование работоспособности установленных средств защиты, анализ конфигураций, сканирование на наличие уязвимостей программного обеспечения.
- Оформление документации — подготовка технического паспорта системы, акта классификации и заключения о соответствии требованиям по защите ПДн.
Периодичность проведения оценки составляет не реже одного раза в три года либо при внесении изменений в структуру информационной системы.
Услуги ООО «ПНК» по оценке защищенности ИСПДн
Компания выполняет полный комплекс работ по определению уровня безопасности систем обработки персональных данных. Специалисты проводят классификацию ИСПДн, разрабатывают модели угроз, внедряют сертифицированные средства защиты и оформляют необходимую документацию для предоставления регуляторам.
Экспертиза ООО «ПНК» в области защиты ПДн подтверждается:
- Лицензиями ФСТЭК и ФСБ России на деятельность по технической защите конфиденциальной информации.
- Опытом реализации более 90 000 договоров в сфере информационной безопасности.
- Знанием актуальных требований законодательства, норм 152-ФЗ, постановлений Правительства и приказов ФСТЭК.
- Индивидуальным подходом к каждому проекту с учетом специфики бизнес-процессов и типа обрабатываемых персональных данных.
- Сопровождением после завершения работ.
Обратитесь в ООО «ПНК» для проведения оценки уровня защищенности персональных данных в вашей организации. Получите документальное подтверждение соответствия требованиям законодательства и сведите к минимуму риски административных санкций.