Security

ИСПДн

ИСПДн — информационная система персональных данных: совокупность баз данных и технологий, в которых оператор обрабатывает ПДн.

Что такое ИСПДн

ИСПДн расшифровывается как информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Проще говоря, ИСПДн — это не только база. Это база плюс приложение, сервер, ОС, сеть, средства защиты и даже рабочие места операторов. Отсюда практический вывод, который часто пропускают: если на VPS крутится сайт с формой заявки, то ИСПДн — это весь этот сервер целиком, а не строка в таблице.

Формально ИСПДн возникает в момент, когда вы начинаете обрабатывать ПДн в электронном виде. CRM, интернет-магазин, кадровая 1С, даже логи веб-сервера с IP и email — всё это ИСПДн со всеми вытекающими обязанностями.

Соседние сокращения

Их постоянно путают, поэтому разложим:

Сокращение Расшифровка
ПДнПерсональные данные
ИСПДнИнформационная система персональных данных
СПДнСубъект персональных данных — человек, к которому данные относятся
СОПДСогласие на обработку персональных данных
УЗУровень защищённости ИСПДн

СОПД — тот самый документ (или галочка в форме), которым субъект даёт правовое основание на обработку. Требования к нему в ст. 9 152-ФЗ: согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Отсюда практика: одна галочка «согласен со всем» на все цели сразу — типовое нарушение. Цели разделяют, а согласие на рассылку не смешивают с согласием на оказание услуги.

Уровни защищённости

Постановление Правительства РФ № 1119 от 01.11.2012 вводит четыре уровня: УЗ-1 (самый строгий) … УЗ-4. Уровень определяется сочетанием четырёх факторов:

  1. Тип актуальных угроз. 1-й тип — угрозы недокументированных возможностей в системном ПО, 2-й — в прикладном ПО, 3-й — не связанные с НДВ. Подавляющее большинство коммерческих систем при грамотной модели угроз обосновывают 3-й тип: иначе придётся защищаться от закладок в ядре ОС, а это совсем другие деньги.
  2. Категория ПДн — специальные, биометрические, общедоступные или иные.
  3. Объём — больше или меньше 100 000 субъектов.
  4. Чьи данные — сотрудников оператора или посторонних лиц.

Типовой интернет-магазин или корпоративный портал (иные ПДн, 3-й тип угроз, менее 100 000 субъектов) попадает в УЗ-4 или УЗ-3 — самые щадящие варианты. Медицинская система со сведениями о здоровье уедет в УЗ-2 или выше.

Уровень определяют не «на глаз»: он фиксируется в акте определения уровня защищённости на основании модели угроз, составленной по методике ФСТЭК. Эти два документа — первое, что спросит проверяющий.

Что нужно сделать

  • Модель угроз — по методике ФСТЭК, с опорой на банк данных угроз (БДУ).
  • Акт определения уровня защищённости.
  • Меры защиты по приказу ФСТЭК № 21 — состав зависит от УЗ: идентификация и аутентификация, управление доступом, регистрация событий безопасности, антивирус, межсетевое экранирование, обнаружение вторжений, контроль целостности, СКЗИ при передаче по открытым каналам.
  • Сертифицированные СЗИ. Для УЗ-1 и УЗ-2 применение средств, прошедших оценку соответствия, обязательно; для УЗ-3/УЗ-4 требования мягче, но при проверке спрашивают.
  • Контроль эффективности — не реже одного раза в 3 года, самостоятельно или лицензиатом ФСТЭК.
  • Локализация. База должна физически стоять в России (ч. 5 ст. 18) — это про выбор ЦОД, а не про юрлицо провайдера.

Аттестация для ИСПДн, в отличие от государственных систем, не обязательна — обязательна оценка эффективности мер. Многие всё же аттестуют: так проще проходить проверки и объясняться с заказчиками.

ИСПДн в облаке

При размещении у провайдера ответственность делится. Провайдер закрывает физику ЦОД, гипервизор и сеть, и может дать аттестованный сегмент на нужный УЗ. Вы отвечаете за гостевую ОС, приложение, доступы и бэкапы.

Два момента, которые определяют законность схемы: поручение на обработку по ч. 3 ст. 6 152-ФЗ (без него передача данных провайдеру — нарушение) и аттестат провайдера ровно на ваш уровень — аттестат на УЗ-3 не закрывает ИСПДн, которой нужен УЗ-2.

Связанные термины

Готовы запустить GPU-задачу?

Запустить GPU-сервер