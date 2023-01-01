Уровень защищенности персональных данных: как правильно определить

Для кого эта статья:

руководители и специалисты по информационной безопасности в организациях

работодатели и менеджеры, занимающиеся защитой данных

студенты и начинающие профессионалы в области информационных технологий и кибербезопасности

Определение правильного уровня защищенности персональных данных (ПДн) — задача, с которой рано или поздно сталкивается любая организация. Недооценка требуемой защиты грозит штрафами и репутационными потерями, а избыточные меры приводят к неоправданным расходам. По данным Роскомнадзора, в 2024 году более 60% выявленных нарушений в области защиты ПДн связаны именно с некорректным определением уровня защищенности. Разберемся, как избежать этих ошибок и выстроить эффективную систему защиты, соответствующую требованиям закона. 🔐

Нормативная база для определения уровней защищенности ПДн

Приступая к определению уровня защищенности персональных данных, необходимо в первую очередь изучить нормативную базу. В России основополагающими документами в этой сфере являются:

Федеральный закон №152-ФЗ "О персональных данных"

Постановление Правительства РФ №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Приказ ФСТЭК России №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных"

Постановление Правительства РФ №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ "О персональных данных"

Ключевым документом среди вышеперечисленных является Постановление Правительства №1119, которое устанавливает четыре уровня защищенности ПДн (от 1 до 4, где 1 — наивысший). Каждому уровню соответствует определенный набор требований и мер защиты. 📚

В 2024-2025 годах ожидаются изменения в нормативной базе, связанные с гармонизацией российского законодательства с международными стандартами и ужесточением требований к обработке биометрических данных. Регуляторная среда постоянно эволюционирует, поэтому организациям необходимо регулярно мониторить изменения.

Нормативный акт Ключевые требования Область применения ФЗ №152 Основные принципы обработки ПДн Все операторы персональных данных ПП РФ №1119 Уровни защищенности, требования к ним Информационные системы ПДн Приказ ФСТЭК №21 Конкретные меры по защите ПДн Технические аспекты защиты ИСПДн ПП РФ №211 Организационные меры защиты Внутренние процессы операторов

Критерии оценки уровня защищенности персональных данных

Определение уровня защищенности ПДн основывается на нескольких ключевых критериях, установленных Постановлением Правительства №1119:

Категория обрабатываемых данных — обычные, специальные, биометрические Количество субъектов ПДн — до 100 000 или более Тип актуальных угроз — 1, 2 или 3 типа Наличие подключения к сетям общего пользования (включая интернет)

Особенно важно правильно определить тип актуальных угроз. Согласно действующему законодательству, они делятся на три уровня:

Угрозы 1-го типа — связаны с наличием недокументированных возможностей в системном ПО

Угрозы 2-го типа — связаны с наличием недокументированных возможностей в прикладном ПО

Угрозы 3-го типа — не связаны с недокументированными возможностями ПО

Андрей Смирнов, руководитель отдела информационной безопасности

В 2023 году к нам обратилась многопрофильная клиника, столкнувшаяся с проблемой после внеплановой проверки Роскомнадзора. Они обрабатывали медицинские данные (специальные ПДн), но изначально определили для себя 3-й уровень защищенности вместо требуемого 2-го, основываясь лишь на небольшом количестве записей в базе. Однако критерий количества субъектов применим только для обычных ПДн, а для специальных категорий требования жестче. После нашего аудита пришлось экстренно внедрять дополнительные меры защиты: средства криптографической защиты, усиленную аутентификацию, контроль целостности. Клиника понесла незапланированные расходы почти в 1,5 млн рублей и временно ограничила функциональность своей информационной системы. Этого можно было избежать, правильно определив уровень защищенности на старте.

Кроме типа угроз, важно учитывать особенности категорий ПДн. Например, биометрические данные (отпечатки пальцев, скан сетчатки) и специальные категории (здоровье, политические взгляды) требуют более высокого уровня защищенности, чем общедоступные или обезличенные данные. 🔍

Практика показывает, что организации часто недооценивают каналы распространения ПДн, забывая учесть, что рассылка персональных данных по электронной почте или передача через мессенджеры может повысить требуемый уровень защищенности системы.

Уровень защищенности Категории ПДн Обычные Специальные Биометрические УЗ-1 Более 100 000 субъектов + угрозы 1 типа Более 100 000 субъектов + угрозы 1 или 2 типа Более 100 000 субъектов + угрозы 1 или 2 типа УЗ-2 Более 100 000 субъектов + угрозы 2 типа Менее 100 000 субъектов + угрозы 1 или 2 типа Менее 100 000 субъектов + угрозы 1 или 2 типа УЗ-3 Более 100 000 субъектов + угрозы 3 типа Любое количество + угрозы 3 типа Любое количество + угрозы 3 типа УЗ-4 Менее 100 000 субъектов + любой тип угроз – –

Методика определения УЗ ПДн: пошаговый алгоритм

Определение уровня защищенности персональных данных — это систематический процесс, который состоит из нескольких ключевых шагов. Рассмотрим пошаговый алгоритм этого процесса:

Инвентаризация информационных систем — выявление всех систем, в которых обрабатываются персональные данные Классификация обрабатываемых ПДн — разделение на обычные, специальные и биометрические категории Определение количества субъектов ПДн — подсчет уникальных физических лиц, чьи данные обрабатываются Анализ подключений к сетям — выявление всех внешних подключений ИСПДн Моделирование угроз — определение актуальных угроз для конкретной информационной системы Определение предварительного уровня защищенности — на основе критериев ПП №1119 Документирование результатов — составление акта определения уровня защищенности Утверждение результатов — согласование с руководством и службой безопасности

Особое внимание следует уделить моделированию угроз. В 2024 году ФСТЭК России рекомендует использовать обновленную методику, которая учитывает современные киберугрозы и векторы атак на информационные системы. 📋

// Пример упрощенного алгоритма определения УЗ в псевдокоде: function определитьУЗ(категорияПДн, количествоСубъектов, типУгроз) { if (категорияПДн == "специальные" || категорияПДн == "биометрические") { if (типУгроз == 1 || типУгроз == 2) { if (количествоСубъектов > 100000) return "УЗ-1"; else return "УЗ-2"; } else { return "УЗ-3"; } } else { // обычные ПДн if (количествоСубъектов > 100000) { if (типУгроз == 1) return "УЗ-1"; else if (типУгроз == 2) return "УЗ-2"; else return "УЗ-3"; } else { return "УЗ-4"; } } }

Процесс определения уровня защищенности не должен быть формальным. Важно проводить его с привлечением специалистов различного профиля: юристов, ИТ-специалистов, специалистов по информационной безопасности, владельцев бизнес-процессов. Только комплексный подход позволит правильно оценить все аспекты обработки ПДн.

Елена Кравцова, DPO (Data Protection Officer)

Когда я начала работу в крупном e-commerce проекте, обнаружила, что компания обрабатывает финансовые данные клиентов через систему с 4-м уровнем защищенности. Менеджмент считал достаточным базовые меры безопасности, поскольку число активных пользователей не превышало 50 000. Я провела переоценку ИСПДн и обнаружила, что система интегрирована с CRM, имеющей доступ к сети интернет. Более того, при детальном анализе базы выяснилось, что исторически в ней содержались данные более 120 000 субъектов, хотя большинство были неактивны. По совокупности факторов требовался минимум 3-й уровень защищенности. Мы экстренно внедрили многофакторную аутентификацию для администраторов, усилили контроль доступа и настроили регулярное сканирование уязвимостей. Через месяц после изменений произошла массированная DDoS-атака на компанию, но благодаря вовремя принятым мерам утечки данных удалось избежать.

Технические и организационные меры для каждого уровня

После определения уровня защищенности необходимо внедрить соответствующие технические и организационные меры. Каждый уровень предполагает свой набор обязательных мер, причем высшие уровни включают в себя все требования низших уровней плюс дополнительные.

Для наглядности представим основные меры защиты для каждого уровня:

Уровень 4 (базовый):

Идентификация и аутентификация субъектов доступа

Управление доступом к ПДн

Ограничение программной среды

Защита машинных носителей информации

Регистрация событий безопасности

Антивирусная защита

Обнаружение вторжений

Контроль защищенности ПДн

Уровень 3:

Все меры уровня 4

Усиленная идентификация и аутентификация

Управление доступом к устройствам

Регулярное обновление ПО

Контроль целостности

Защита среды виртуализации (при использовании)

Уровень 2:

Все меры уровней 3 и 4

Двухфакторная аутентификация

Строгое управление изменениями

Криптографическая защита информации

Защита информационной системы и ее компонентов

Повышенные требования к мониторингу событий безопасности

Уровень 1 (наивысший):

Все меры уровней 2, 3 и 4

Изолированная программная среда

Сегментация информационной системы

Усиленная криптографическая защита

Доверенная загрузка

Физическая охрана технических средств

Защита от утечек по техническим каналам

Важно помнить, что требования к средствам защиты информации (СЗИ) также зависят от уровня защищенности. Для уровней 1 и 2 необходимо использовать сертифицированные средства защиты информации с соответствующим классом. 🔒

Организационные меры должны дополнять технические и включать:

Разработку политик безопасности персональных данных

Обучение сотрудников правилам работы с ПДн

Назначение ответственных лиц за обеспечение безопасности

Регулярные аудиты информационной безопасности

Процедуру реагирования на инциденты безопасности

Контроль физического доступа к информационным системам

В 2025 году ожидается ужесточение требований к защите биометрических данных и интеграция механизмов противодействия современным методам компрометации данных, включая защиту от атак с применением искусственного интеллекта.

Типичные ошибки при определении уровня защищенности

Практика показывает, что организации часто допускают ошибки при определении уровня защищенности ПДн, что приводит к несоответствию требованиям законодательства и потенциальным рискам. Рассмотрим наиболее распространенные ошибки:

Игнорирование общего количества субъектов ПДн — учет только активных пользователей без исторических данных Неверное определение типов актуальных угроз — чаще всего необоснованное занижение уровня угроз Неправильная классификация персональных данных — например, отнесение медицинских данных к обычным ПДн Упущение из виду систем, косвенно обрабатывающих ПДн — бэкапы, тестовые среды, аналитические системы Недооценка факта подключения к сетям общего пользования — любое подключение к интернету повышает требования к защите Формальный подход к моделированию угроз — использование шаблонов без адаптации к конкретной системе Игнорирование трансграничной передачи ПДн — при передаче данных за пределы РФ требования могут повышаться

Особенно часто встречается ошибка, связанная с некорректным определением типа актуальных угроз. Многие организации по умолчанию считают актуальными только угрозы 3-го типа, не проводя тщательного моделирования угроз. Однако для современных информационных систем, имеющих подключение к интернету, более релевантны угрозы 2-го или даже 1-го типа. ⚠️

Еще одна распространенная ошибка — раздельное рассмотрение информационных систем, которые фактически интегрированы между собой. Например, если CRM-система имеет доступ к базе данных клиентов, уровень защищенности должен определяться комплексно для всей среды.

Для минимизации рисков рекомендуется:

Проводить регулярный аудит информационных систем с привлечением независимых экспертов

Использовать методические рекомендации регуляторов (ФСТЭК, Роскомнадзор)

Документировать весь процесс определения уровня защищенности с указанием обоснований

Регулярно обновлять модель угроз в соответствии с изменением ИТ-ландшафта организации

Сотрудничать с профильными ассоциациями и сообществами для обмена опытом и лучшими практиками

Особое внимание стоит уделить документированию процесса определения уровня защищенности. Наличие подробного обоснования принятых решений поможет не только соответствовать требованиям регуляторов, но и оптимизировать затраты на защитные меры.

