Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Министерства цифровых технологий и связи Калининградской области от 12 июля 2021 г. N 273 "Об утверждении методических рекомендаций по обеспечению защиты информации в государственных информационных системах"
- Приложение. Методические рекомендации по обеспечению защиты информации в государственных информационных системах
- Приложение N 3. Методика определения уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных
Приложение N 3. Методика определения уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных
Приложение N 3
к Методическим рекомендациям
Методика
определения уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных
1. Введение
В соответствии с п. 2 ч. 2 ст. 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" оператор персональных данных обязан применить организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Требования и правила определения уровней защищенности персональных данных (далее - ПДн) при их обработке в информационных системах персональных данных (далее - ИСПДн) установлены в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных (далее - Требования), утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119.
2. Этапы
Для определения уровня защищенности ПДн, обрабатываемых в ИСПДн, необходимо выполнить следующие этапы:
- определить тип угроз, актуальных для ИСПДн;
- определить категории ПДн, обрабатываемые в ИСПДн;
- определить тип субъекта ПДн;
- определить количество субъектов ПДн, данные которых обрабатываются в ИСПДн;
- на основании данных, полученных на предыдущих этапах, сделать вывод об уровне защищенности ПДн, обрабатываемых в ИСПДн.
2.1. Определение типа угроз, актуальных для ИСПДн
На этом этапе определяются и отражаются в документе "Модель угроз безопасности ПДн в ИСПДн" актуальные угрозы безопасности ПДн в ИСПДн.
Требованиями установлены 3 типа угроз для ИСПДн:
- угрозы 1-го типа - актуальны для ИСПДн, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
- угрозы 2-го типа - актуальны для ИСПДн, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
- угрозы 3-го типа - актуальны для ИСПДн, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Понижение уровня защищенности ПДн в ИСПДн возможно в случае признания неактуальными угроз, связанных с наличием недокументированных (недекларированных) возможностей в системном и (или) прикладном программном обеспечении, используемом в информационной системе.
2.2. Определение категорий ПДн, обрабатываемых в ИСПДн
В рамках данного этапа определяются категории ПДн, обрабатываемых в ИСПДн, в соответствии с критериями по следующему перечню:
1. Специальные категории ПДн - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн;
2. Биометрические ПДн - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн, и не относятся к специальным категориям ПДн;
3. Общедоступные ПДн - ПДн субъектов ПДн, полученные только из общедоступных источников персональных данных, созданных в соответствии со ст. 8 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";
4. Иные категории ПДн - ПДн, не относящиеся к специальным категориям ПДн, биометрическим ПДн и общедоступным ПДн.
2.3. Определение типа субъекта ПДн
На данном этапе необходимо определить тип субъектов ПДн, данные которых обрабатываются в ИСПДн.
В соответствии с Требованиями определены два типа субъектов ПДн:
- субъект ПДн, являющийся сотрудником оператора;
- субъект ПДн, не являющийся сотрудником оператора.
2.4. Определение количества субъектов ПДн, данные которых обрабатываются в ИСПДн
В соответствии с Требованиями пороговым значением для определения уровня защищенности ПДн, обрабатываемых в ИСПДн, является значение - 100000 субъектов ПДн, данные которых обрабатываются в ИСПДн.
2.5. Определение уровня защищенности ПДн, обрабатываемых в ИСПДн
По результатам, полученным на этапах в соответствии с п.п. 2.1-2.4 настоящей Методики, определяется уровень защищенности ПДн, обрабатываемых в ИСПДн.
Для удобства определения уровня защищенности можно воспользоваться следующей таблицей: