Акт определения уровня защищенности персональных данных

Акт определения уровня защищенности персональных данных является одним из документов содержащий сведения о реализуемых требованиях к защите персональных данных.

Акт определения уровня защищенности
Акт определения уровня защищенности
персональных данных
Акт определения уровня защищенности персональных данных не является документом конфиденциального характера. Оператор персональных данных обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, содержащий сведения о реализуемых требованиях к защите персональных данных.

Для определения уровня защищенности персональных данных на предприятии (организации) должна быть создана комиссия. В состав комиссии обязательно должен быть включен ответственный за  организацию обработки персональных данных. Комиссия должна быть назначена приказом руководителя. По результатам определения уровня защищенности персональных данных должен быть оформлен акт. Акт определения уровня защищенности персональных данных должен утверждаться руководителем предприятия (председатель и члены комиссии назначаются приказом о проведении внутренней проверки). Акт должен быть подписан всеми членами комиссии.

Акт определения уровня защищенности персональных данных составляется для каждой информационной системы персональных данных (ИСПДн) и прилагается к уведомлению об обработке (если уведомление необходимо). Для каждой ИСПДн должна быть определена ее структура, в которой определяются характеристики режима обработки.

На основании полученных данных каждой ИСПДн должен быть определен необходимый уровень защищенности персональных данных. Правильно выявить уровень защищенности необходимо для того, чтобы определить требования для обеспечения защиты ИСПДн. Определение уровня защищенности персональных данных проводится в соответствии с постановлением Правительства РФ от 01.11.2012 №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

В акте указывается:
  • Обрабатываемые в ИСПДн персональные данные;
  • Объем обрабатываемых персональных данных;
  • Тип актуальных угроз для ИСПДн;
  • Уровень защищенности персональных данных.

Обрабатываемые категории персональных данные в ИСПДн:
  1. специальные категории персональных данных - данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
  2. биометрические персональные данные - данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором персональных данных для установления личности субъекта персональных данных, и не относящиеся к специальным категориям персональных данных;
  3. общедоступные персональные данные - персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных;
  4. иные категории персональных данных - данные, не относящиеся к специальным, биометрическим и общедоступным персональным данным.

Довольно редко встречаются ИСПДн, в которых обрабатываются персональные данные 3 категории. Это связано с тем, что для реальных задач нужны не только данные идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате).

Наиболее часто встречаются ИСПДн, в которых обрабатываются персональные данные 2 категории. Например, системы расчета заработной платы сотрудников.

Специальные категории персональные данные, как правило, встречаются в учреждениях здравоохранения, социальной сферы, труда и занятости.

Объем, обрабатываемых персональных данных определяет количество субъектов, персональные данные которых обрабатываются в системе. Применяется следующая градация:
  • более чем 100 000 субъектов персональных данных;
  • менее чем 100 000 субъектов персональных данных.

Тип актуальных угроз для ИСПДн:
  • угрозы 1-го типа актуальны для ИСПДн, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей (НДВ) в системном программном обеспечении, используемом в ИСПДн;
  • угрозы 2-го типа актуальны для ИСПДн, если для нее в том числе актуальны угрозы, связанные с наличием НДВ в прикладном программном обеспечении, используемом в ИСПДн.
  • угрозы 3-го типа актуальны для ИСПДн, если для нее актуальны угрозы, не связанные с наличием НДВ в системном и прикладном программном обеспечении, используемом в ИСПДн.

Уровень защищенности определяется на основании обрабатываемых персональных данных в ИСПДн, объема, обрабатываемых данных и типа актуальных угроз.