Каждый день мы слышим новости об утечках информации, хакерах и кибератаках. Но знаете ли вы, что в России уже давно существуют строгие правила, которые помогают защитить нашу информацию? Они касаются всех видов данных и всех уровней защиты. Сегодня поговорим о том, как законы защищают наши данные в интернете. А поскольку тема эта огромная, давайте начнем с того, какие бывают виды информационных систем и как их защищают от угроз.
Информационная система персональных данных (ИСПДн): как определить уровень защиты этих данных
Это набор программ и оборудования, который помогает собирать, хранить и обрабатывать личные данные людей. В такой системе выделяют четыре уровня защиты данных. Чтобы понять, какой уровень нужен, существует специальный порядок действий.
Первый шаг — определить, какие данные используют в информационной системе
-
Специальные (ИСПДн-С) — это информация о вашей расе, национальности, политических и религиозных убеждениях, здоровье и личной жизни.
-
Биометрические (ИСПДн-Б) — это физические характеристики, такие как ваш рост, вес, отпечатки пальцев или фотография в паспорте.
-
Общедоступные (ИСПДн-О) — это данные, которые вы сами опубликовали или которые должны быть опубликованы по закону, например, сведения о доходах госслужащих.
-
Иные (ИСПДн-И) — любые другие данные, которые не подходят под первые три категории.
Второй шаг — определить субъект персональных данных
Есть два типа субъектов персональных данных:
-
Сотрудники компании — они работают у оператора персональных данных.
-
Не сотрудники компании — люди, которые просто взаимодействуют с компанией, но не работают там.
Оператор персональных данных — это любая организация, которая собирает и использует личные данные людей. Например, ваш работодатель – это оператор ваших персональных данных. Если компания хранит информацию о своих сотрудниках, то такие люди попадают под первый тип. А если она собирает данные клиентов или других людей, которые не работают в этой организации, то они относятся ко второму типу.
Третий шаг — определить количество субъектов
Третий этап определения уровня защиты информации зависит от количества людей, чьи данные обрабатывает система:
-
Больше 100 000 человек.
-
Меньше 100 000 человек.
Четвертый шаг — определить тип угроз
-
Не декларированные функции в системных программах. Это когда в программном обеспечении системы есть скрытые возможности, о которых производитель не сообщил (первый тип угроз).
-
Не декларированные функции в прикладных программах. То же самое, но уже в программах, которые используют для конкретных задач (второй тип угроз).
-
Нет не декларированных функции. В этом случае никаких скрытых возможностей нет (третий тип угроз).
Что же такое не декларированные возможности? Это функции, которые производитель не указал, и их можно использовать для получения доступа к данным или управлению программой без разрешения. Простыми словами, это своего рода «черные ходы» или «бекдоры».
Пятый шаг — определяем уровень защищенности персональных данных
Уровень защищенности персональных данных показывает, насколько хорошо выполняют требования по защите информации от угроз. В системах обработки персональных данных существует четыре уровня защищенности, где 1-й уровень требует самой высокой защиты, а 4-й — наименьшей.
Определить уровень защищенности можно по таблице, которую приведем ниже.
|
Тип ИСПДн |
Категория субъектов |
Количество субъектов |
1 тип актуальных угроз |
2 тип актуальных угроз |
3 тип актуальных угроз |
|---|---|---|---|---|---|
|
ИСПДн-С |
Не сотрудники оператора |
Больше 100 000 человек |
Уровень защищенности 1 |
Уровень защищенности 1 |
Уровень защищенности 2 |
|
Меньше 100 000 |
Уровень защищенности 1 |
Уровень защищенности 2 |
Уровень защищенности 3 |
||
|
Сотрудники оператора |
Любое |
Уровень защищенности 1 |
Уровень защищенности 2 |
Уровень защищенности 3 |
|
|
ИСПДн-Б |
Не сотрудники оператора |
Больше 100 000 человек |
Уровень защищенности 1 |
Уровень защищенности 2 |
Уровень защищенности 3 |
|
Меньше 100 000 |
Уровень защищенности 1 |
Уровень защищенности 2 |
Уровень защищенности 3 |
||
|
Сотрудники оператора |
Любое |
Уровень защищенности 1 |
Уровень защищенности 2 |
Уровень защищенности 3 |
|
|
ИСПДн-О |
Не сотрудники оператора |
Больше 100 000 человек |
Уровень защищенности 2 |
Уровень защищенности 2 |
Уровень защищенности 4 |
|
Меньше 100 000 |
Уровень защищенности 2 |
Уровень защищенности 3 |
Уровень защищенности 4 |
||
|
Сотрудники оператора |
Любое |
Уровень защищенности 2 |
Уровень защищенности 3 |
Уровень защищенности 4 |
|
|
ИСПДн-И |
Не сотрудники оператора |
Больше 100 000 человек |
Уровень защищенности 1 |
Уровень защищенности 2 |
Уровень защищенности 3 |
|
Меньше 100 000 |
Уровень защищенности 1 |
Уровень защищенности 3 |
Уровень защищенности 4 |
||
|
Сотрудники оператора |
Любое |
Уровень защищенности 1 |
Уровень защищенности 3 |
Уровень защищенности 4 |
Государственные информационные системы (ГИС)
Государственные информационные системы (ГИС) — это программы и базы данных, которые используют государственные органы для работы. В таких системах информация делится на три класса безопасности: первый (самый высокий уровень защиты), второй (средний) и третий (минимальный уровень защиты). Чтобы определить, какой класс нужен системе, смотрят на два основных параметра — масштаб и уровень значимости. Эти параметры помогают понять, насколько важной и защищенной должна быть информация в каждой конкретной системе.
По масштабу выделяют ГИС:
-
Федеральный: система работает на всей территории России или в одном федеральном округе.
-
Региональный: система используется в одном регионе или нескольких регионах.
-
Объектовый: система применяется в конкретном городе или органе власти.
Второй параметр, который учитывают при определении класса защиты информационной системы, называется уровнем значимости. Этот показатель зависит от того, какой ущерб может возникнуть, если данные будут украдены, изменены или станут недоступны.
Высокий уровень значимости:
-
Отрасль или регион понесет значительный ущерб.
-
Система перестанет работать.
-
Оператор системы не сможет выполнять свои обязанности.
Средний уровень:
-
Ущерб для отрасли или региона будет умеренным.
-
Система продолжит работу, но с большими сложностями.
-
Некоторые функции оператора будут недоступны.
Низкий уровень:
-
Ущерб для отрасли или региона будет незначительным.
-
Система останется работоспособной.
-
Все функции будут выполняться без проблем.
|
Уровень значимости |
Федеральный масштаб ИС |
Региональный масштаб ИС |
Объектовый масштаб ИС |
|---|---|---|---|
|
Уровень значимости 1 |
Класс 1 |
Класс 1 |
Класс 1 |
|
Уровень значимости 2 |
Класс 1 |
Класс 2 |
Класс 2 |
|
Уровень значимости 3 |
Класс 2 |
Класс 3 |
Класс 3 |
Для тех, кто не знаком с терминами, объясним, что такое конфиденциальность, целостность и доступность. Это три главных свойства, которые обеспечивают безопасность информации.
Конфиденциальность означает, что доступ к информации имеют только те люди, которым разрешено ее видеть.
Целостность гарантирует, что информация изменяется только законным образом.
Доступность значит, что информация всегда доступна и готова к использованию, когда нужно.
Теперь про уровни значимости:
-
Высокий уровень значимости (УЗ1) присваивают, если хотя бы одно из этих свойств (конфиденциальность, целостность или доступность) связано с высоким риском ущерба.
-
Средний уровень значимости (УЗ2) устанавливают, если хотя бы одно из этих свойств связано со средним риском ущерба.
-
Низкий уровень значимости (УЗ3) ставится, если хотя бы одно из этих свойств связано с низким риском ущерба.
Степень риска определяет сам владелец информации, оператор или эксперты.
Автоматизированная информационная система
Автоматизированная система включает людей и технические средства для их работы. Защищенность таких систем зависит от четырех факторов:
-
Доступ к системе: может быть у одного пользователя или у нескольких.
-
Права пользователей: могут быть одинаковыми для всех или разными.
-
Конфиденциальность информации: информация может иметь одинаковый уровень защиты или разный.
-
Тип закрытой информации: государственная тайна делится на три уровня: секретно, совершенно секретно и особой важности; конфиденциальная информация включает персональные данные и служебную тайну.
В автоматизированных системах есть три группы безопасности и девять классов информационных систем по защите: 1А, 1Б, 1В, 1Г, 1Д, 2А, 2Б, 3А, 3Б. Давайте разберем их подробнее.
Первая группа — многопользовательские системы, где разные пользователи могут иметь доступ к разным данным. В этой группе следующие классы:
-
1А, 1Б, 1В: их используют для работы с государственной тайной. Например, класс 1В предназначен для данных с пометкой «секретно», а класс 1А — для самых важных данных («особая важность»).
-
1Г: для работы со служебными тайнами.
-
1Д: класс защищает персональные данные пользователей.
Вторая группа — здесь все пользователи имеют одинаковый доступ ко всем данным. Сюда входят два класса:
-
2А: для работы с данными, составляющими государственную тайну.
-
2Б: для работы с конфиденциальной информацией.
Третья группа — это системы для одного пользователя, который имеет полный доступ ко всем данным. Здесь также два класса:
-
3А: для работы с государственной тайной.
-
3Б: для работы с конфиденциальной информацией.
В заключение отметим, что выбор информационной системы зависит от множества факторов, включая специфику деятельности организации, объем обрабатываемых данных и требования безопасности. Информация играет ключевую роль, интеграция различных типов информационных систем становится важным шагом для повышения эффективности бизнеса и обеспечения защиты данных.
В России защита информации регулируется рядом ключевых законов, таких как Федеральный закон № 152-ФЗ «О персональных данных», Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры» и Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Контроль за соблюдением этих норм осуществляют Роскомнадзор, ФСТЭК и ФСБ. Нарушение требований по защите данных может привести к серьезным последствиям: от штрафов до приостановки деятельности компании.
«МК Компани» предлагает комплексные решения по интеграции информационных систем, учитывая все особенности вашего бизнеса. Обращаясь к нам, можете быть уверены, что информационная система будет работать стабильно и эффективно, обеспечивая безопасность и конфиденциальность данных.